ASA 디바이스 구성

이 장에는 다음 섹션이 포함되어 있습니다.

Security Cloud Control에서 ASA 연결 자격 증명 업데이트

ASA를 온보딩하는 과정에서 Security Cloud Control가 디바이스에 연결하는 데 사용해야 하는 사용자 이름 및 비밀번호를 입력했습니다. 디바이스에서 해당 자격 증명이 변경된 경우 Update Credentials(자격 증명 업데이트) 디바이스 작업을 사용하여 Security Cloud Control에서도 해당 자격 증명을 업데이트하십시오. 이 기능을 사용하면 디바이스를 다시 등록하지 않고도 Security Cloud Control에서 자격 증명을 업데이트할 수 있습니다. 전환할 사용자 이름과 암호 조합은 해당 사용자의 ASA 또는 AAA(Authentication, Authorization, and Accounting) 서버에 이미 존재해야 합니다. 이 프로세스는 Security Cloud Control 데이터베이스에만 영향을 미칩니다. 자격 증명 업데이트 기능을 사용할 때 ASA 구성이 변경되지 않습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭한 다음 ASA를 클릭합니다.

단계 3

업데이트할 연결 자격 증명이 있는 ASA를 선택합니다. 한 번에 하나 이상의 ASA에서 자격 증명을 업데이트할 수 있습니다.

단계 4

Device Actions(디바이스 작업) 창에서 Update Credentials(자격 증명 업데이트)를 클릭합니다.

단계 5

ASA를 Security Cloud Control에 연결하는 데 사용하는 Cloud Connector 또는 SDC(Secure Device Connector)를 선택합니다.

단계 6

ASA에 연결하는 데 사용할 새 사용자 이름 및 비밀번호를 입력합니다.

단계 7

자격 증명이 변경된 후 Security Cloud Control는 디바이스를 동기화합니다.

참고

 

Security Cloud Control가 디바이스를 동기화하지 못하면 Security Cloud Control의 연결 상태에 "Invalid Credentials(유효하지 않은 자격 증명)"가 표시될 수 있습니다. 이 경우 유효하지 않은 사용자 이름과 비밀번호 조합을 사용하려고 시도했을 수 있습니다. 사용하려는 자격 증명이 ASA 또는 AAA 서버에 저장되어 있는지 확인하고 다시 시도하십시오.

SDC 간에 ASA 이동

Security Cloud Control는 테넌트당 둘 이상의 SDC 사용을 지원합니다. 다음 절차를 사용하여 한 SDC에서 다른 SDC로 관리형 ASA를 이동할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

다른 SDC로 이동하려는 ASA를 선택합니다.

단계 3

Device Actions(디바이스 작업) 창에서 Update Credentials(자격 증명 업데이트)를 클릭합니다.

단계 4

Secure Device Connector 버튼을 클릭하고 디바이스를 이동하려는 SDC를 선택합니다.

단계 5

ASA를 온보딩하는 데 사용한 관리자 사용자 이름 및 비밀번호를 입력하고 Update(업데이트)를 클릭합니다. 이러한 변경 사항을 디바이스에 구축할 필요는 없습니다.

ASA 인터페이스 구성

Security Cloud Control는 명령줄 인터페이스를 사용할 필요가 없는 사용자 친화적 인터페이스를 제공하여 ASA 인터페이스 구성을 간소화합니다. 사용자는 ASA의 물리적 인터페이스, 하위 인터페이스 및 EtherChannel의 구성을 완벽하게 제어할 수 있습니다. 또한 경로 기반 사이트 간 VPN 중에 생성된 Virtual Tunnel Interface도 볼 수 있지만 읽기 전용입니다. Security Cloud Control를 사용하여 ASA 디바이스에서 데이터 인터페이스 또는 관리/진단 인터페이스를 구성하고 편집할 수 있습니다.

물리적 또는 가상 인터페이스 연결에 케이블을 연결하려면 인터페이스를 구성해야 합니다. 최소한 인터페이스 이름을 지정하고 트래픽을 전달하도록 인터페이스를 활성화해야 합니다. 인터페이스가 브리지 그룹의 멤버인 경우에는 인터페이스의 이름을 지정하는 작업만 수행하면 됩니다. 인터페이스가 BVI(브리지 가상 인터페이스)인 경우 BVI에 IP 주소를 할당해야 합니다. 지정된 포트의 단일 실제 인터페이스가 아닌 VLAN 하위 인터페이스를 생성하려는 경우에는 일반적으로 실제 인터페이스가 아닌 하위 인터페이스에 IP 주소를 구성합니다. VLAN 하위 인터페이스를 사용하면 실제 인터페이스를 각기 다른 VLAN ID로 태그가 지정된 여러 논리적 인터페이스로 분할할 수 있습니다.

인터페이스 목록에는 사용 가능한 인터페이스, 해당 이름, 주소 및 상태가 표시됩니다. 인터페이스 행을 선택하고 Actions(작업) 창에서 Edit(편집)를 클릭하여 인터페이스의 상태를 on 또는 off로 변경하거나 인터페이스를 편집할 수 있습니다. 목록에는 구성을 기준으로 인터페이스 특성이 표시됩니다. 인터페이스 행을 확장하여 하위 인터페이스 또는 브리지 그룹 멤버를 확인합니다.

관리 인터페이스

다음에 연결하여 ASA를 관리할 수 있습니다.

  • 통과 트래픽 인터페이스

  • 전용 관리 슬롯/포트 인터페이스(모델에 제공되는 경우)

MTU 설정 사용

MTU는 디바이스가 지정된 이더넷 인터페이스에서 전송할 수 있는 최대 프레임 페이로드 크기를 지정합니다. MTU 값은 이더넷 헤더, VLAN 태깅 또는 기타 오버헤드가 없는 프레임 크기입니다. 예를 들어, MTU를 1500으로 설정할 경우 예상 프레임 크기는 헤더 포함 시 1518바이트이고 VLAN 사용 시에는 1522입니다. 이러한 헤더를 수용하기 위해 MTU 값을 이보다 더 높게 설정하지 마십시오.

Virtual Tunnel Interface(VTI)에 대한 읽기 전용 지원

두 ASA 디바이스 간에 경로 기반 사이트 간 VPN 터널을 구성하면 디바이스 간에 VTI(Virtual Tunnel Interface)가 생성됩니다. VTI 터널이 구성된 디바이스는 Security Cloud Control에 온보딩할 수 있습니다. CDO에서 검색하고 ASA 인터페이스페이지에 나열하지만 관리를 지원하지 않습니다.

ASA 물리적 인터페이스 구성

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

구성할 물리적 인터페이스를 클릭하고 Edit(편집)을 클릭합니다.

Editing Physical Interface(물리적 인터페이스 편집) 대화 상자가 나타납니다.

단계 5

Logical Name(논리적 이름) 필드에 인터페이스 이름을 입력합니다.

단계 6

다음 절차 중 하나를 계속합니다.

ASA 물리적 인터페이스에 대한 IPv4 주소 지정 구성

프로시저

단계 1

Edit Physical Interface(물리적 인터페이스 편집) 대화 상자의 IPv4 Address(IPv4 주소) 탭에서 다음을 구성합니다.

  • 유형: 인터페이스에 대해 고정 IP 주소 지정 또는 DHCP를 사용할 수 있습니다.

    Static(고정) - 변경되면 안 되는 주소를 할당하려면 이 옵션을 선택합니다.

    • IP Address and Subnet Mask(IP 주소 및 서브넷 마스크): 인터페이스에 연결된 네트워크에 대해 인터페이스의 IP 주소와 서브넷 마스크를 입력합니다.

    • Standby IP Address(스탠바이 IP 주소) - 고가용성을 구성하는 경우 이 인터페이스에서 HA를 모니터링하는 중이라면 같은 서브넷에 스탠바이 IP 주소도 구성합니다. 스탠바이 디바이스의 이 인터페이스에서 스탠바이 주소를 사용합니다.

      각 인터페이스에 대한 스탠바이 IP 주소를 설정합니다. 스탠바이 주소는 지정하는 것이 좋지만 필수 항목은 아닙니다. 스탠바이 IP 주소가 없으면 액티브 유닛이 네트워크 테스트를 수행하여 스탠바이 인터페이스 상태를 확인할 수 없으며 링크 상태만 추적할 수 있습니다.

    DHCP: 네트워크의 DHCP 서버에서 주소를 가져와야 하는 경우 이 옵션을 선택합니다.

    Obtain Default Route(기본 경로 얻기) 확인란을 선택하여 DHCP 서버에서 기본 경로를 가져올 수 있습니다. 일반적으로 이 옵션을 선택합니다.

단계 2

완료한 경우 Save(저장)를 클릭하거나 다음 절차 중 하나를 계속합니다.

ASA 물리적 인터페이스에 대한 IPv6 주소 지정 구성

프로시저

단계 1

Editing Physical Interface(물리적 인터페이스 편집) 대화 상자에서 IPv6 Address(IPv6 주소) 탭을 클릭합니다.

단계 2

다음을 구성합니다.

  • State(상태): IPv6 처리를 활성화하고 전역 주소를 구성하지 않을 때 링크 로컬 주소를 자동으로 구성하려면 State(상태) 슬라이더를 클릭하여 사용하도록 설정합니다. 링크-로컬 주소는 인터페이스 MAC 주소(수정된 EUI-64 형식)를 기반으로 생성됩니다.

    참고

     

    IPv6를 비활성화해도 명시적 IPv6 주소로 구성되었거나 자동 구성용으로 활성화된 인터페이스에서 IPv6 처리가 비활성화되지는 않습니다.

  • Address Auto Configuration(주소 자동 구성):

    주소를 자동으로 구성하려면 이 옵션을 선택합니다. IPv6 스테이트리스 자동 구성에서는 디바이스가 있는 링크에 IPv6 서비스를 제공하도록 구성된 라우터가 있는 경우에만 글로벌 IPv6 주소를 생성합니다. 이러한 서비스에는 링크에서 사용할 IPv6 글로벌 접두사 알림이 포함됩니다. 링크에서 IPv6 라우팅 서비스를 사용할 수 없는 경우에는 링크-로컬 IPv6 주소만 제공됩니다. 디바이스의 직접 네트워크 링크 외부에서는 이 주소에 액세스할 수 없습니다. 링크 로컬 주소는 수정된 EUI-64 인터페이스 ID를 기반으로 합니다.

    RFC 4862에서는 스테이트리스 자동 구성에 대해 구성한 호스트에서 라우터 알림 메시지를 전송하지 않도록 지정하지만, 이 경우에는 디바이스에서 라우터 알림 메시지를 전송합니다. 메시지를 표시하지 않고 RFC를 준수하려면 RA 표시 안 함을 선택합니다.

  • Suppress RA(RA 표시 안 함): 라우터 알림을 표시하지 않으려면 이 상자를 선택합니다. 디바이스는 인접 디바이스가 기본 라우터 주소를 동적으로 학습할 수 있도록 라우터 알림에 참여할 수 있습니다. 기본적으로 라우터 알림 메시지(ICMPv6 유형 134)는 IPv6가 구성된 각 인터페이스에 주기적으로 전송됩니다.

    라우터 광고는 라우터 요청 메시지에 대한 응답으로도 보내집니다(ICMPv6 Type 133). 예정된 다음 라우터 광고 메시지를 기다릴 필요 없이 호스트가 즉시 자동 구성을 할 수 있도록 시스템 시동 시 라우터 요청 메시지가 전송됩니다.

    디바이스에서 IPv6 접두사를 제공하지 않도록 하려는 인터페이스(예: 외부 인터페이스)에서는 이러한 메시지를 표시하지 않을 수 있습니다.

  • DAD Attempts(DAD 시도): 인터페이스가 DAD(Duplicate Address Detection)를 수행하는 빈도를 0~600 사이의 값으로 설정합니다. 기본값은 1입니다. 스테이트리스 자동 구성 프로세스에서 DAD는 새로운 유니캐스트 IPv6 주소가 고유한지 확인한 다음 주소를 인터페이스에 할당합니다. 중복 주소가 인터페이스의 링크-로컬 주소인 경우 인터페이스의 IPv6 패킷 처리가 사용 해제됩니다. 중복 주소가 전역 주소인 경우 주소가 사용되지 않습니다. 인터페이스에서는 네이버 요청 메시지를 사용하여 DAD를 수행합니다. DAD(Duplicate Address Detection) 처리를 비활성화하려면 값을 0으로 설정합니다.

  • Link-Local Address(링크-로컬 주소): 주소를 링크 로컬로만 사용하려면 Link-Local Address(링크-로컬 주소) 필드에 주소를 입력합니다. 로컬 네트워크 외부에서는 링크 로컬 주소에 액세스할 수 없습니다. 브리지 그룹 인터페이스에서는 링크-로컬 주소를 구성할 수 없습니다.

    참고

     

    링크-로컬 주소는 FE8, FE9, FEA 또는 FEB로 시작해야 합니다(예: fe80::20d:88ff:feee:6a82). Modified EUI-64 형식으로 링크-로컬 주소를 자동으로 지정하는 것이 좋습니다. 만약 다른 디바이스에서 Modified EUI-64 형식을 강제 적용하는 경우 수동으로 지정된 링크-로컬 주소 때문에 패킷이 폐기될 수 있습니다.

  • Standby Link-Local Address(스탠바이 링크-로컬 주소): 인터페이스가 고가용성 디바이스 쌍을 연결하는 경우 이 주소를 구성합니다. 이 인터페이스가 연결된 다른 디바이스에 있는 인터페이스의 링크-로컬 주소를 입력합니다.

  • Static Address/Prefix(고정 주소/접두사): 스테이트리스 자동 구성을 사용하지 않는 경우 전체 고정 글로벌 IPv6 주소와 네트워크 접두사를 입력합니다. 예를 들어, 2001:0DB8::BA98:0:3210/48와 같이 입력합니다. 다른 고정 주소를 추가할 수 있습니다.

  • Standby IP Address(스탠바이 IP 주소): 고가용성을 구성하는 경우 이 인터페이스에서 HA를 모니터링하는 중이라면 같은 서브넷에 스탠바이 IPv6 주소도 구성합니다. 스탠바이 디바이스의 이 인터페이스에서 스탠바이 주소를 사용합니다. 스탠바이 IP 주소를 설정하지 않으면 액티브 유닛이 네트워크 테스트를 사용하여 스탠바이 인터페이스를 모니터링할 수 없으며 링크 상태만 추적할 수 있습니다.

단계 3

완료한 경우 Save(저장)를 클릭하거나 다음 절차 중 하나를 계속합니다.

고급 ASA 물리적 인터페이스 옵션 구성

고급 인터페이스 옵션에는 대부분의 네트워크에 적합한 기본 설정이 있습니다. 네트워킹 문제를 해결하는 경우에만 이러한 설정을 구성하십시오.

다음 절차에서는 인터페이스가 이미 정의되어 있다고 가정합니다. 인터페이스를 처음 수정하거나 생성할 때 이러한 설정을 수정할 수도 있습니다.

이 절차 및 모든 단계는 선택 사항입니다.

프로시저

단계 1

Editing Physical Interface(물리적 인터페이스 편집) 대화 상자에서 Advanced(고급) 탭을 클릭합니다.

단계 2

다음 고급 설정을 구성합니다.

  • HA Monitoring(HA 모니터링): 디바이스가 HA 쌍이 고가용성 구성에서 피어 디바이스로 페일오버할지 여부를 결정할 때 인터페이스의 상태를 요소로 포함하려면 활성화합니다. 이 옵션은 고가용성을 구성하지 않는 경우 무시되며 인터페이스의 이름을 구성하지 않는 경우에도 무시됩니다.

  • Management Only(관리만): 데이터 인터페이스 관리만 수행하려면 활성화합니다.

    관리 전용 인터페이스에서는 통과 트래픽을 허용하지 않으므로 데이터 인터페이스를 관리 전용 인터페이스로 설정할 때 사용할 수 있는 값은 거의 없습니다. 관리/진단 인터페이스(항상 관리 전용)의 경우에는 이 설정을 변경할 수 없습니다.

  • MTU: 기본 MTU는 1500바이트입니다. 64~9198 사이의 값을 지정할 수 있습니다. 네트워크에서 대개 점보 프레임이 표시되면 높은 값을 설정합니다.

  • Duplex and Speed (Mbps)(듀플렉스 및 속도(Mbps)): 기본적으로 인터페이스는 연결 반대쪽의 인터페이스와 최적의 이중 및 속도를 협상하지만, 필요한 경우 특정 이중이나 속도를 강제 적용할 수 있습니다. 나열된 옵션은 인터페이스에서 지원하는 유일한 옵션입니다. 네트워크 모듈의 인터페이스에 이러한 옵션을 설정하기 전에 인터페이스 구성에 대한 제한 사항을 읽어보십시오.

    • Duplex(듀플렉스): Auto(자동), Half(하프) 또는 Full(풀)을 선택합니다. 인터페이스가 지원하는 경우 자동이 기본값입니다.

    • Speed(속도): Auto(자동)를 선택하여 인터페이스가 속도를 협상하도록 하거나(이 옵션이 기본값임), 10, 100, 1000, 10000Mbps 중에서 특정 속도를 선택합니다. 다음과 같은 특수 옵션을 선택할 수도 있습니다.

  • DAD Attempts(DAD 시도): 인터페이스가 DAD(Duplicate Address Detection)를 수행하는 빈도를 0~600 사이의 값으로 설정합니다. 기본값은 1입니다. 스테이트리스 자동 구성 프로세스에서 DAD는 새로운 유니캐스트 IPv6 주소가 고유한지 확인한 다음 주소를 인터페이스에 할당합니다. 중복 주소가 인터페이스의 링크-로컬 주소인 경우 인터페이스의 IPv6 패킷 처리가 사용 해제됩니다. 중복 주소가 전역 주소인 경우 주소가 사용되지 않습니다. 인터페이스에서는 네이버 요청 메시지를 사용하여 DAD를 수행합니다. DAD(Duplicate Address Detection) 처리를 비활성화하려면 값을 0으로 설정합니다.

  • MAC Address(MAC 주소): H.H.H. 형식의 MAC(Media Access Control) 주소입니다. 여기서 H는 16비트 16진수입니다. 예를 들어 MAC 주소 00-0C-F1-42-4C-DE는 000C.F142.4CDE로 입력합니다. MAC 주소에는 멀티캐스트 비트를 설정해서는 안 됩니다(즉, 왼쪽에서 두 번째 16진수는 홀수일 수 없음).

  • Standby MAC Address(스탠바이 MAC 주소): 고가용성에 사용할 주소입니다. 액티브 유닛이 페일오버되고 스탠바이 유닛이 액티브 상태가 되면, 네트워크 중단을 최소화하기 위해 새 액티브 유닛에서 액티브 MAC 주소를 사용하기 시작하고 기존 액티브 유닛은 스탠바이 주소를 사용합니다.

단계 3

인터페이스를 저장한 경우 고급 인터페이스 옵션을 계속 진행하지 않으려면 Enable Interface(인터페이스 활성화)를 계속 진행합니다.

단계 4

Save(저장)를 클릭합니다.

ASA 물리적 인터페이스 활성화

프로시저

단계 1

활성화할 물리적 인터페이스를 선택합니다.

단계 2

인터페이스의 논리적 이름과 연결된 창의 오른쪽 상단에 있는 State(상태) 슬라이더를 이동합니다.

단계 3

변경한 사항을 검토하고 구축합니다.

ASA VLAN 하위 인터페이스 추가

VLAN 하위 인터페이스를 사용하면 실제 인터페이스를 각기 다른 VLAN ID로 태그가 지정된 여러 논리적 인터페이스로 분할할 수 있습니다. 하나 이상의 VLAN 하위 인터페이스가 포함된 인터페이스는 자동으로 802.1Q 트렁크로 구성됩니다. VLAN을 사용하면 정해진 실제 인터페이스에서 트래픽을 따로 유지할 수 있으므로, 실제 인터페이스 또는 디바이스를 더 추가하지 않고 네트워크에 사용 가능한 인터페이스 수를 늘릴 수 있습니다.

스위치의 트렁크 포트에 물리적 인터페이스를 연결하는 경우 하위 인터페이스를 생성합니다. 스위치 트렁크 포트에 표시될 수 있는 각 VLAN에 대해 하위 인터페이스를 생성합니다. 스위치의 액세스 포트에 물리적 인터페이스를 연결하는 경우 하위 인터페이스를 생성할 필요가 없습니다.

ASA VLAN 하위 인터페이스 구성

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

다음 방법 중 하나를 사용하여 하위 인터페이스를 추가할 수 있습니다.

  • -> Subinterface(하위 인터페이스)를 선택합니다.
  • 구성할 물리적 인터페이스를 선택하고 오른쪽의 Actions(작업) 창에서 New Subinterface(새로운 하위 인터페이스)를 클릭합니다.

단계 5

VLAN ID 필드에 1~4094 범위의 VLAN ID를 입력합니다.

일부 VLAN ID의 경우 연결된 스위치에서 예약될 수 있으므로 스위치 설명서에서 자세한 내용을 확인하십시오. 다중 상황 모드의 경우 시스템 구성에서 VLAN만 설정할 수 있습니다.

단계 6

Subinterface ID(하위 인터페이스 ID) 필드에 하위 인터페이스 ID를 1~4294967293 범위의 정수로 입력합니다.

허용되는 하위 인터페이스의 개수는 플랫폼에 따라 다릅니다. 다음을 설정한 후에는 ID를 변경할 수 없습니다.

단계 7

다음 절차 중 하나를 계속합니다.

ASA 하위 인터페이스에 대한 IPv4 주소 지정 구성

프로시저

단계 1

Create Subinterface(하위 인터페이스 생성) 대화 상자의 IPv4 Address(IPv4 주소) 탭에서 다음을 구성합니다.

  • 유형: 인터페이스에 대해 고정 IP 주소 지정 또는 DHCP를 사용할 수 있습니다.

    Static(고정) - 변경되면 안 되는 주소를 할당하려면 이 옵션을 선택합니다.

    • IP Address and Subnet Mask(IP 주소 및 서브넷 마스크): 인터페이스에 연결된 네트워크에 대해 인터페이스의 IP 주소와 서브넷 마스크를 입력합니다.

    • Standby IP Address(스탠바이 IP 주소) - 고가용성을 구성하는 경우 이 인터페이스에서 HA를 모니터링하는 중이라면 같은 서브넷에 스탠바이 IP 주소도 구성합니다. 스탠바이 디바이스의 이 인터페이스에서 스탠바이 주소를 사용합니다.

      각 인터페이스에 대한 스탠바이 IP 주소를 설정합니다. 스탠바이 주소는 지정하는 것이 좋지만 필수 항목은 아닙니다. 스탠바이 IP 주소가 없으면 액티브 유닛이 네트워크 테스트를 수행하여 스탠바이 인터페이스 상태를 확인할 수 없으며 링크 상태만 추적할 수 있습니다.

    DHCP: 네트워크의 DHCP 서버에서 주소를 가져와야 하는 경우 이 옵션을 선택합니다.

    Obtain Default Route(기본 경로 얻기) 확인란을 선택하여 DHCP 서버에서 기본 경로를 가져올 수 있습니다. 일반적으로 이 옵션을 선택합니다.

단계 2

완료한 경우 Save(저장)를 클릭하거나 다음 절차 중 하나를 계속합니다.

ASA 하위 인터페이스에 대한 IPv6 주소 지정 구성

프로시저

단계 1

Creating Subinterface(하위 인터페이스 생성) 대화 상자에서 IPv6 Address(IPv6 주소) 탭을 클릭합니다.

단계 2

다음을 구성합니다.

  • State(상태): IPv6 처리를 활성화하고 전역 주소를 구성하지 않을 때 링크 로컬 주소를 자동으로 구성하려면 State(상태) 슬라이더를 클릭하여 사용하도록 설정합니다. 링크-로컬 주소는 인터페이스 MAC 주소(수정된 EUI-64 형식)를 기반으로 생성됩니다.

    참고

     

    IPv6를 비활성화해도 명시적 IPv6 주소로 구성되었거나 자동 구성용으로 활성화된 인터페이스에서 IPv6 처리가 비활성화되지는 않습니다.

  • Address Auto Configuration(주소 자동 구성):

    주소를 자동으로 구성하려면 이 옵션을 선택합니다. IPv6 스테이트리스 자동 구성에서는 디바이스가 있는 링크에 IPv6 서비스를 제공하도록 구성된 라우터가 있는 경우에만 글로벌 IPv6 주소를 생성합니다. 이러한 서비스에는 링크에서 사용할 IPv6 글로벌 접두사 알림이 포함됩니다. 링크에서 IPv6 라우팅 서비스를 사용할 수 없는 경우에는 링크-로컬 IPv6 주소만 제공됩니다. 디바이스의 직접 네트워크 링크 외부에서는 이 주소에 액세스할 수 없습니다. 링크 로컬 주소는 수정된 EUI-64 인터페이스 ID를 기반으로 합니다.

    RFC 4862에서는 스테이트리스 자동 구성에 대해 구성한 호스트에서 라우터 알림 메시지를 전송하지 않도록 지정하지만, 이 경우에는 디바이스에서 라우터 알림 메시지를 전송합니다. 메시지를 표시하지 않고 RFC를 준수하려면 RA 표시 안 함을 선택합니다.

  • Suppress RA(RA 표시 안 함): 라우터 알림을 표시하지 않으려면 이 상자를 선택합니다. 디바이스는 인접 디바이스가 기본 라우터 주소를 동적으로 학습할 수 있도록 라우터 알림에 참여할 수 있습니다. 기본적으로 라우터 알림 메시지(ICMPv6 유형 134)는 IPv6가 구성된 각 인터페이스에 주기적으로 전송됩니다.

    라우터 광고는 라우터 요청 메시지에 대한 응답으로도 보내집니다(ICMPv6 Type 133). 예정된 다음 라우터 광고 메시지를 기다릴 필요 없이 호스트가 즉시 자동 구성을 할 수 있도록 시스템 시동 시 라우터 요청 메시지가 전송됩니다.

    디바이스에서 IPv6 접두사를 제공하지 않도록 하려는 인터페이스(예: 외부 인터페이스)에서는 이러한 메시지를 표시하지 않을 수 있습니다.

  • DAD Attempts(DAD 시도) - 인터페이스가 DAD(Duplicate Address Detection)를 수행하는 빈도를 0~600 사이의 값으로 설정합니다. 기본값은 1입니다. 스테이트리스 자동 구성 프로세스에서 DAD는 새로운 유니캐스트 IPv6 주소가 고유한지 확인한 다음 주소를 인터페이스에 할당합니다. 중복 주소가 인터페이스의 링크-로컬 주소인 경우 인터페이스의 IPv6 패킷 처리가 사용 해제됩니다. 중복 주소가 전역 주소인 경우 주소가 사용되지 않습니다. 인터페이스에서는 네이버 요청 메시지를 사용하여 DAD를 수행합니다. DAD(Duplicate Address Detection) 처리를 비활성화하려면 값을 0으로 설정합니다.

  • Link-Local Address(링크-로컬 주소): 주소를 링크 로컬로만 사용하려면 Link-Local Address(링크-로컬 주소) 필드에 주소를 입력합니다. 로컬 네트워크 외부에서는 링크 로컬 주소에 액세스할 수 없습니다. 브리지 그룹 인터페이스에서는 링크-로컬 주소를 구성할 수 없습니다.

    참고

     

    링크-로컬 주소는 FE8, FE9, FEA 또는 FEB로 시작해야 합니다(예: fe80::20d:88ff:feee:6a82). Modified EUI-64 형식으로 링크-로컬 주소를 자동으로 지정하는 것이 좋습니다. 만약 다른 디바이스에서 Modified EUI-64 형식을 강제 적용하는 경우 수동으로 지정된 링크-로컬 주소 때문에 패킷이 폐기될 수 있습니다.

  • Standby Link-Local Address(스탠바이 링크-로컬 주소): 인터페이스가 고가용성 디바이스 쌍을 연결하는 경우 이 주소를 구성합니다. 이 인터페이스가 연결된 다른 디바이스에 있는 인터페이스의 링크-로컬 주소를 입력합니다.

  • Static Address/Prefix(고정 주소/접두사): 스테이트리스 자동 구성을 사용하지 않는 경우 전체 고정 글로벌 IPv6 주소와 네트워크 접두사를 입력합니다. 예를 들어, 2001:0DB8::BA98:0:3210/48와 같이 입력합니다. 다른 고정 주소를 추가할 수 있습니다.

  • Standby IP Address(스탠바이 IP 주소): 고가용성을 구성하는 경우 이 인터페이스에서 HA를 모니터링하는 중이라면 같은 서브넷에 스탠바이 IPv6 주소도 구성합니다. 스탠바이 디바이스의 이 인터페이스에서 스탠바이 주소를 사용합니다. 스탠바이 IP 주소를 설정하지 않으면 액티브 유닛이 네트워크 테스트를 사용하여 스탠바이 인터페이스를 모니터링할 수 없으며 링크 상태만 추적할 수 있습니다.

단계 3

완료한 경우 Save(저장)를 클릭하거나 다음 절차 중 하나를 계속합니다.

고급 ASA VLAN 하위 인터페이스 옵션 구성

고급 인터페이스 옵션에는 대부분의 네트워크에 적합한 기본 설정이 있습니다. 네트워킹 문제를 해결하는 경우에만 이러한 설정을 구성하십시오.

다음 절차에서는 인터페이스가 이미 정의되어 있다고 가정합니다. 인터페이스를 처음 수정하거나 생성할 때 이러한 설정을 수정할 수도 있습니다.

이 절차 및 모든 단계는 선택 사항입니다.

프로시저

단계 1

Creating Subinterface(하위 인터페이스 생성) 대화 상자에서 Advanced(고급) 탭을 클릭합니다.

단계 2

다음 고급 설정을 구성합니다.

  • HA Monitoring(HA 모니터링): 디바이스가 HA 쌍이 고가용성 구성에서 피어 디바이스로 페일오버할지 여부를 결정할 때 인터페이스의 상태를 요소로 포함하려면 활성화합니다. 이 옵션은 고가용성을 구성하지 않는 경우 무시되며 인터페이스의 이름을 구성하지 않는 경우에도 무시됩니다.

  • Management Only(관리만): 데이터 인터페이스 관리만 수행하려면 활성화합니다.

    관리 전용 인터페이스에서는 통과 트래픽을 허용하지 않으므로 데이터 인터페이스를 관리 전용 인터페이스로 설정할 때 사용할 수 있는 값은 거의 없습니다. 관리/진단 인터페이스(항상 관리 전용)의 경우에는 이 설정을 변경할 수 없습니다.

  • MTU: 기본 MTU는 1500바이트입니다. 64~9198 사이의 값을 지정할 수 있습니다. 네트워크에서 대개 점보 프레임이 표시되면 높은 값을 설정합니다.

  • DAD Attempts(DAD 시도): 인터페이스가 DAD(Duplicate Address Detection)를 수행하는 빈도를 0~600 사이의 값으로 설정합니다. 기본값은 1입니다. 스테이트리스 자동 구성 프로세스에서 DAD는 새로운 유니캐스트 IPv6 주소가 고유한지 확인한 다음 주소를 인터페이스에 할당합니다. 중복 주소가 인터페이스의 링크-로컬 주소인 경우 인터페이스의 IPv6 패킷 처리가 사용 해제됩니다. 중복 주소가 전역 주소인 경우 주소가 사용되지 않습니다. 인터페이스에서는 네이버 요청 메시지를 사용하여 DAD를 수행합니다. DAD(Duplicate Address Detection) 처리를 비활성화하려면 값을 0으로 설정합니다.

  • MAC Address(MAC 주소): H.H.H. 형식의 MAC(Media Access Control) 주소입니다. 여기서 H는 16비트 16진수입니다. 예를 들어 MAC 주소 00-0C-F1-42-4C-DE는 000C.F142.4CDE로 입력합니다. MAC 주소에는 멀티캐스트 비트를 설정해서는 안 됩니다(즉, 왼쪽에서 두 번째 16진수는 홀수일 수 없음).

  • Standby MAC Address(스탠바이 MAC 주소): 고가용성에 사용할 주소입니다. 액티브 유닛이 페일오버되고 스탠바이 유닛이 액티브 상태가 되면, 네트워크 중단을 최소화하기 위해 새 액티브 유닛에서 액티브 MAC 주소를 사용하기 시작하고 기존 액티브 유닛은 스탠바이 주소를 사용합니다.

단계 3

인터페이스를 저장한 경우 고급 인터페이스 옵션을 계속 진행하지 않으려면 Enable Subinterface(하위 인터페이스 활성화)를 계속 진행합니다.

단계 4

Save(저장)를 클릭합니다.

하위 인터페이스 활성화

프로시저

단계 1

활성화할 하위 인터페이스를 선택합니다.

단계 2

인터페이스의 논리적 이름과 연결된 창의 오른쪽 상단에 있는 State(상태) 슬라이더를 이동합니다.

단계 3

변경한 사항을 검토하고 구축합니다.

ASA 하위 인터페이스 제거

ASA에서 하위 인터페이스를 제거하려면 다음 절차를 수행합니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

Interfaces(인터페이스) 페이지에서 삭제할 하위 인터페이스와 연결된 물리적 인터페이스를 확장한 다음 해당 하위 인터페이스를 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Remove(제거)를 클릭합니다.

단계 6

EtherChannel 인터페이스 삭제를 확인하고 Delete(삭제)를 클릭합니다.

단계 7

변경한 사항을 검토하고 구축합니다.

ASA EtherChannel 인터페이스 정보

802.3ad EtherChannel은 개별 이더넷 링크(채널 그룹)의 번들로 구성된 논리적 인터페이스(일명 포트 채널 인터페이스)이므로, 단일 네트워크의 대역폭을 늘리게 됩니다. 포트 채널 인터페이스는 인터페이스 관련 기능을 구성할 경우 물리적 인터페이스와 동일한 방식으로 사용됩니다.

모델에서 지원하는 인터페이스의 수에 따라 최대 48개의 EtherChannel을 구성할 수 있습니다.

LACP(Link Aggregation Control Protocol)

LACP(Link Aggregation Control Protocol)에서는 두 네트워크 디바이스 간의 LACPDU(Link Aggregation Control Protocol Data Units)를 교환하여 인터페이스를 취합합니다.

LACP에서는 사용자의 작업 없이 EtherChannel에 링크를 자동으로 추가 및 삭제하는 작업을 조율합니다. 또한 구성 오류를 처리하고 멤버 인터페이스의 양끝이 모두 올바른 채널 그룹에 연결되어 있는지 확인합니다. "On" 모드에서는 인터페이스가 중단될 경우 채널 그룹의 스탠바이 인터페이스를 사용할 수 없으며, 연결 및 구성이 확인되지 않습니다.

ASA EtherChannel 인터페이스에 대한 자세한 내용은 ASDM 설명서 1: Cisco ASA 시리즈 일반 작업 ASDM 구성 가이드, X, YEtherChannel 및 이중 인터페이스 장을 참조하십시오.

ASA EtherChannel 구성

ASA에 새 EtherChannel 인터페이스를 추가하려면 이 절차를 사용합니다.

시작하기 전에

ASA 인터페이스에서 EtherChannel을 구성하려면 다음 사전 요건을 충족해야 합니다.

  • 채널 그룹의 모든 인터페이스는 미디어 유형 및 용량이 동일해야 하며 속도 및 듀플렉스를 동일하게 설정해야 합니다. 미디어 유형은 RJ-45 또는 SFP일 수 있으며 서로 다른 유형(구리 및 광섬유)의 SFP를 혼합할 수 있습니다. 속도가 Detect SFP(SFP 탐지)로 설정되어 있는 한 다른 인터페이스 용량을 지원하는 Secure Firewall 3100의 경우를 제외하고, 대용량 인터페이스에서는 속도를 더 낮게 설정하여 인터페이스 용량(예: 1GB 및 10GB 인터페이스)을 혼합할 수 없습니다. 이 경우 최저 공통 속도가 사용됩니다.

  • 해당 이름을 구성하지 않은 경우 물리적 인터페이스를 채널 그룹에 추가할 수 없습니다. 먼저 이름을 제거해야 합니다.

  • 다른 EtherChannel 인터페이스 그룹, Switchport 인터페이스 및 하위 인터페이스가 있는 인터페이스의 일부는 추가할 수 없습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

> EtherChannel Interface(EtherChannel 인터페이스)를 선택합니다.

단계 5

Logical Name(논리적 이름) 필드에 EtherChannel 인터페이스의 이름을 제공합니다.

단계 6

EtherChannel ID에 1~8 사이의 정수를 입력합니다.

단계 7

Link Aggregation Control Protocol(링크 어그리게이션 제어 프로토콜)의 드롭다운 버튼을 클릭하고 두 가지 옵션 중 하나를 선택합니다.

  • Active(활성화) — LACP 업데이트를 보내고 받습니다. 액티브 EtherChannel은 액티브 또는 패시브 EtherChannel과의 연결을 설정할 수 있습니다. LACP 트래픽 양을 최소화할 필요가 없는 한 액티브 모드를 사용해야 합니다.
  • On(켜짐) — EtherChannel은 항상 켜져 있으며 LACP는 사용되지 않습니다. On(켜짐)인 EtherChannel은 On(켜짐)으로 구성된 다른 EtherChannel과만 연결할 수 있습니다.

단계 8

EtherChannel에 멤버로 포함할 인터페이스를 검색하여 선택합니다. 하나 이상의 인터페이스를 포함해야 합니다.

경고

 

EtherChannel 인터페이스를 멤버로 추가하고 이미 IP 주소가 구성된 경우 Security Cloud Control는 멤버의 IP 주소를 제거합니다.

단계 9

IPv4, IPv6, Advanced(고급) 탭 중에서 선택하여 하위 인터페이스의 IP 주소를 구성합니다.

단계 10

창의 오른쪽 상단에 있는 State(상태) 슬라이더를 이동하여 EtherChannel 인터페이스를 활성화합니다.

단계 11

Save(저장)를 클릭합니다.

단계 12

변경한 사항을 검토하고 구축합니다.

ASA EtherChannel 편집

ASA에서 기존 EtherChannel을 편집하려면 이 절차를 수행합니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

Interfaces(인터페이스) 페이지에서 편집할 EtherChannel 인터페이스를 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Edit(편집)를 클릭합니다.

단계 6

원하는 값을 수정하고 Save(저장)를 클릭합니다.

단계 7

변경한 사항을 검토하고 구축합니다.

ASA EtherChannel 인터페이스 제거

ASA에서 EtherChannel 인터페이스를 제거하려면 다음 절차를 수행합니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

수정하려는 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Interfaces(인터페이스)를 클릭합니다.

단계 4

Interfaces(인터페이스) 페이지에서 삭제할 EtherChannel 인터페이스를 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Remove(제거)를 클릭합니다.

단계 6

EtherChannel 인터페이스 삭제를 확인하고 Delete(삭제)를 클릭합니다.

단계 7

변경한 사항을 검토하고 구축합니다.

Security Cloud Control에서 ASA 시스템 설정 정책

ASA 시스템 설정 정책 소개

시스템 설정 정책을 사용하여 ASA 디바이스의 작동 및 기능을 관리합니다. 이 정책은 도메인 이름 서비스, 보안 복사 서버 활성화, 메시지 로깅, ACL 확인 없이 VPN 트래픽 허용 등의 필수 구성을 포함합니다. 정책을 설정하면 디바이스가 보안 네트워크 환경을 유지하도록 올바르게 구성되도록 할 수 있습니다.

ASA 디바이스를 구성할 때는 공유 시스템 설정 정책으로 여러 디바이스의 설정을 관리하는 옵션을 사용할 수도 있고 단일 디바이스의 설정을 개별적으로 수정할 수도 있다는 점을 기억해야 합니다.

공유 시스템 설정 정책

공유 시스템 설정 정책은 네트워크의 여러 ASA 디바이스에 적용됩니다. 이를 사용하면 여러 매니지드 디바이스를 한 번에 구성할 수 있으므로 구축 일관성을 유지하고 관리 작업을 간소화할 수 있습니다. 공유 정책의 매개변수에 적용되는 변경 사항은 해당 정책을 사용하는 다른 ASA 디바이스에 영향을 미칩니다.

Manage(관리) > Policies(정책) > ASA > System Settings(시스템 설정)를 선택합니다. ASA 공유 시스템 설정 정책 생성의 내용을 참조하십시오.

또한 단일 ASA 디바이스에 해당하는 디바이스별 시스템 설정을 수정하여 공유 시스템 설정 정책 값을 재정의할 수 있습니다. Manage(관리) > Security Devices(보안 디바이스) > ASA device(ASA 디바이스) > Management(관리) > Settings(설정)를 선택합니다. 디바이스별 시스템 설정 구성 또는 수정의 내용을 참조하십시오.

ASA 공유 시스템 설정 정책 생성

이 섹션을 사용하여 ASA 디바이스에 대한 새로운 공유 시스템 설정 정책을 생성합니다.

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Policies(정책) > ASA > System Settings(시스템 설정)를 클릭합니다.

단계 3

버튼을 클릭합니다.

단계 4

Name(이름) 필드에 정책 이름을 입력하고 Save(저장)를 클릭합니다.

단계 5

ASA 공유 시스템 설정 편집 페이지에서 원하는 매개변수를 구성합니다.

참고

 

  • 해당 매개변수의 주황색 점()은 저장되지 않은 변경 사항을 강조 표시합니다.

  • 거부된 기호()는 디바이스의 기존 로컬 값을 사용하는 매개변수를 강조 표시합니다.

기본 DNS 설정 구성

ASA에서 호스트 이름의 IP 주소를 확인할 수 있도록 DNS 서버를 구성해야 합니다. 또한 액세스 규칙에서 FQDN(Fully Qualified Domain Name) 네트워크 개체를 사용하려면 DNS 서버를 구성해야 합니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 DNS를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. Security Cloud Control 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

DNS 섹션에서 을 클릭하여 서버를 구성합니다.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): DNS 서버의 IP 주소를 지정합니다.

  • Interface Name(인터페이스 이름): DNS 조회를 활성화할 인터페이스를 지정합니다.

참고

 

여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

단계 4

Save(저장)를 클릭합니다.

단계 5

Domain name(도메인 이름) 필드에서 ASA의 도메인 이름을 지정합니다.

ASA는 도메인 이름을 정규화되지 않은 이름에 접미사로 추가합니다. 예를 들어, 도메인 이름을 “example.com”으로 설정하고 “jupiter”라는 정규화되지 않은 이름으로 syslog 서버를 지정한 경우 ASA는 해당 이름을 “jupiter.example.com”으로 정규화합니다.

단계 6

DNS Lookup(DNS 조회) 섹션에서 을 클릭하고 인터페이스 이름을 지정합니다.

인터페이스에서 DNS 조회를 활성화하지 않으면 ASA에서는 해당 인터페이스의 DNS 서버와 통신하지 않습니다. DNS 서버에 액세스하는 데 사용할 모든 인터페이스에서 DNS 조회를 활성화해야 합니다.

참고

 

구성된 인터페이스를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 7

Save(저장)를 클릭합니다.

HTTP 설정 구성

관리 액세스를 위해 ASA 인터페이스에 액세스하려면 HTTP를 사용하여 ASA에 액세스할 수 있는 모든 호스트/네트워크의 주소를 지정해야 합니다. HTTPS에 HTTP 연결을 리디렉션하도록 지정하기 위해 HTTP 리디렉션을 구성하는 경우, HTTP를 허용하도록 액세스 규칙을 활성화해야 합니다. 액세스 규칙을 활성화하지 않으면 인터페이스가 HTTP 포트를 수신 대기할 수 없습니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 HTTP를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. Security Cloud Control 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

HTTP 서버를 활성화하려면 Enable HTTP Server(HTTP 서버 활성화) 확인란을 선택합니다.

단계 4

Port Number(포트 번호) 필드에서 포트 번호를 설정합니다. port는 인터페이스가 HTTP 연결을 리디렉션하는 포트를 식별합니다.

경고

 

디바이스의 HTTP 포트를 변경하면 Security Cloud Control에 대한 연결에 문제가 발생할 수 있습니다. 디바이스의 네트워크 연결과 관련된 설정을 변경하려는 경우 이 점을 기억하는 것이 중요합니다.

단계 5

HTTP 정보를 추가하려면 을 클릭합니다.

  • Interface(인터페이스): 여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): HTTP를 사용하여 ASA에 액세스할 수 있는 모든 호스트/네트워크의 주소를 지정합니다.

  • Netmask(넷마스크): 네트워크의 서브넷 마스크를 지정합니다.

참고

 

호스트를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

NTP 서버를 사용하여 날짜 및 시간 설정

NTP는 네트워크 시스템 간에 정확하게 동기화된 시간을 제공하는 계층적 서버 시스템을 구현하는 데 사용합니다. 정밀한 타임 스탬프가 포함된 CRL 검증과 같이 시간에 민감한 작업에는 이러한 정확성이 필요합니다. 여러 NTP 서버를 구성할 수 있습니다. ASA는 데이터의 신뢰도 지표인 stratum이 가장 낮은 서버를 선택합니다.

NTP 서버에서 가져온 시간은 직접 설정한 어떤 시간도 재정의합니다.

ASA는 NTPv4를 지원합니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 NTP를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. Security Cloud Control 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

NTP 서버 세부 정보를 추가하려면 를 클릭합니다.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): NTP 서버의 IP 주소를 지정합니다.

    서버의 호스트 이름은 입력할 수 없습니다. ASA에서는 NTP 서버에 대한 DNS 조회를 지원하지 않습니다.

  • Key Id(키 ID): 1~4294967295 사이의 숫자를 입력합니다.

    이 설정은 이 인증 키의 키 ID를 지정합니다. 그러면 인증을 사용하여 NTP 서버와 통신할 수 있습니다. NTP 서버 패킷에서도 이 키 ID를 사용해야 합니다.

  • Interface Name(인터페이스 이름): 인터페이스 이름을 지정합니다. 여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

    NTP는 알고리즘을 사용하여 어떤 서버가 가장 정확한지 알아내고 그 서버와 동기화합니다. 서버의 정확도가 비슷하면 기본 서버를 사용합니다. 그러나 어떤 서버가 기본 서버보다 훨씬 더 정확할 경우 ASA는 더 정확한 쪽을 사용합니다.

  • Prefer(기본): (선택 사양) : 이 서버를 기본 서버로 설정하려면 Preferred(기본) 확인란을 선택합니다.

참고

 

NTP 서버를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 4

Save(저장)를 클릭합니다.

SSH 액세스 구성

ASA에서 SCP(Secure Copy) 서버를 활성화할 수 있습니다. SSH를 사용하여 ASA에 액세스하는 것이 허용된 클라이언트만 SCP 연결을 설정할 수 있습니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 SSH를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. Security Cloud Control 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

Enable Scopy SSH(Scopy SSH 활성화)(보안 복사 SSH)를 활성화합니다.

단계 4

Timeout in Minutes(시간 초과(분)) 필드에서 1분~60분 범위에서 시간 제한을 설정합니다. 기본값은 5분입니다. 이 기본값은 대개 너무 짧으므로 모든 프로덕션 전 단계 테스트 및 문제 해결을 완료할 수 있도록 늘려야 합니다.

단계 5

을 클릭하고 다음을 구성합니다.

  • Interface(인터페이스): 인터페이스 이름을 지정합니다. 여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): SSH를 사용하여 ASA에 액세스할 수 있는 모든 호스트/네트워크의 주소를 지정합니다.

  • Netmask(넷마스크): 네트워크의 서브넷 마스크를 지정합니다.

참고

 

SSH 세부 정보를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

시스템 로깅 구성

시스템 로깅은 디바이스의 메시지를 syslog 데몬을 실행 중인 서버로 수집하는 방식입니다. 중앙 syslog 서버에 로깅하면 로그와 경고를 종합하는 데 도움이 됩니다. Cisco 디바이스는 로그 메시지를 UNIX 스타일 syslog 서비스로 전송할 수 있습니다. syslog 서비스는 메시지를 수신하고 파일로 저장하거나 간단한 구성 파일에 따라 인쇄합니다. 이 로깅 양식을 통해 로그를 안전하게 장기 보관할 수 있습니다. 로그는 일상적인 문제 해결과 인시던트 처리에 모두 유용합니다.

보안 수준

다음 표는 syslog 메시지 심각도 수준을 나열합니다.

표 1. Syslog 메시지 심각도 레벨

레벨 번호

Security Level(보안 레벨)

설명

0

emergencies(비상)

시스템을 사용할 수 없습니다.

1

Alert(긴급 경고)

즉각적인 행동이 필요합니다.

2

critical(심각)

심각한 상태입니다.

3

error(오류)

오류 상태입니다.

4

warning(경고)

경고 상태입니다.

5

notification(알림)

일반적이지만 중요한 상태입니다.

6

informational(정보)

정보를 제공하는 메시지만 해당.

7

debugging(디버깅)

디버깅 메시지만 해당됩니다.

문제를 디버깅할 때 이 레벨에서 일시적으로만 기록합니다. 이 로그 레벨은 시스템 성능에 영향을 미칠 수 있는 메시지를 너무 많이 생성할 수 있습니다.

참고

ASA는 심각도 레벨이 0(응급)인 Syslog 메시지를 생성하지 않습니다.
프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 Syslog(시스템 로그)를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. Security Cloud Control 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

다음을 구성합니다.

  • Logging Enabled(로깅 활성화): 보안 로깅을 활성화합니다.

  • Timestamp Enabled(타임스탬프 활성화): 시스템 로그 메시지에 날짜와 시간을 포함하려면 활성화합니다.

  • Permit host down(호스트 다운 허용): (선택 사항)TCP 연결 syslog 서버가 다운되었을 때 새로운 연결을 차단하려면 이 기능을 비활성화합니다.

  • Buffer Size(버퍼 크기): 내부 로그 버퍼의 크기를 지정합니다. 허용되는 범위는 4096 ~ 1048576바이트입니다.

  • Buffered Logging Level(버퍼링된 로깅 수준): 임시 저장 위치 역할을 하는 내부 로그 버퍼로 어떤 시스템 로그 메시지를 전송할지 지정합니다.

  • Console Logging Level(콘솔 로깅 수준): 콘솔 포트로 어떤 syslog 메시지를 보낼지 지정합니다.

  • Trap Logging Level(트랩 로깅 수준): 어떤 시스템 로그 메시지를 Syslog 서버에 전송할지 지정합니다.

단계 4

Syslog 서버 세부 정보를 추가하려면 를 클릭합니다.

  • Interface Name(인터페이스 이름): Syslog 서버가 위치하는 인터페이스 이름을 지정합니다. 여기에 지정된 인터페이스 이름이 이 공유 시스템 설정 정책과 연결된 ASA 디바이스에서 동일한지 확인하십시오.

  • IP Version(IP 버전): 사용할 IP 주소 버전을 선택합니다.

  • IP Address(IP 주소): Syslog 서버의 IP 주소를 지정합니다.

  • Protocol(프로토콜): 시스템 로그 메시지를 Syslog 서버로 보낼 때 ASA가 사용해야 하는 프로토콜(TCP 또는 UDP)을 선택합니다.

    • Port(포트): Syslog 서버가 시스템 로그 메시지에 대해 수신 대기하는 포트를 지정합니다. 허용되는 TCP 포트 범위는 1~65535이고, UDP 포트 범위는 1025~65535입니다.

    • Log messages in Cisco EMBLEM format(Cisco EMBLEM 형식으로 메시지 기록)(UDP만 해당): UDP만 사용하는 Syslog 서버에 대해 EMBLEM 형식 로깅을 사용하도록 활성화합니다.

    • Enable secure syslog using SSL?(SSL을 사용하여 보안 시스템 로그 활성화?): 원격 로깅 호스트로의 연결이 TCP에 한해 SSL/TLS를 사용하도록 지정합니다.

  • Reference Identity(참조 ID): 이전에 구성한 참조 ID 개체를 기반으로 인증서에 대해 RFC 6125 참조 ID 확인을 활성화하려면 참조 ID 유형을 지정합니다. 참조 ID 개체에 대한 자세한 내용은 Configure Reference Identities(참조 ID 구성)을 참조하십시오.

참고

 

Syslog 서버를 제거하려면 Actions(작업) 아래에서 삭제 아이콘을 클릭합니다.

단계 5

Save(저장)를 클릭합니다.

Sysopt 설정 활성화

발신 인터페이스에 바인딩된 암호화 맵 ACL은 VPN 터널을 통한 IPsec 패킷을 허용 또는 거부합니다. IPsec는 IPsec 터널에서 도착하는 패킷을 인증하고 암호를 해독하며 터널에 연계된 ACL에 대한 평가를 받게 합니다.

ACL이 보호할 IP 트래픽을 정의합니다. 예를 들어 2개의 서브넷 또는 2개의 호스트 간에 모든 IP 트래픽을 보호하도록 ACL을 생성할 수 있습니다.

프로시저

단계 1

ASA 시스템 설정 편집 페이지의 왼쪽 창에서 Sysopt를 클릭합니다.

단계 2

공유 ASA 시스템 설정 정책의 값을 구성하려면 Retain existing values(기존 값 유지) 확인란의 선택을 취소합니다.

중요사항

 

Retain existing values (기존 값 유지) 체크 박스 이 선택되어 있으면 필드가 표시되지 않으므로 값을 구성할 수 없습니다. Security Cloud Control 은 이 설정에 ASA 디바이스 의 기존 로컬 값을 사용하며 공유 정책 에서 상속되지 않습니다.

단계 3

Allow VPN traffic to bypass interface access lists(VPN 트래픽이 인터페이스 액세스 목록을 우회하도록 허용)를 활성화하면 ACL 검사를 우회합니다.

단계 4

Save(저장)를 클릭합니다.

Shared System Settings(공유 시스템 설정) 페이지에서 정책 할당

공유 시스템 설정 정책을 구성한 후 온보딩된 ASA 디바이스를 할당하고 변경 사항이 적용되도록 디바이스에 설정을 구축합니다. 정책에 대한 변경 사항은 정책과 연결된 디바이스에 영향을 줍니다.

디바이스 관련 설정 페이지에서 정책을 할당할 수도 있습니다.


참고

ASA 디바이스를 하나의 공유 시스템 설정 정책에만 연결할 수 있습니다.

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Policies(정책) > ASA > System Settings(시스템 설정)를 클릭합니다.

단계 3

공유 정책을 선택하고 Edit(편집)를 클릭합니다.

단계 4

정책 이름 옆에 나타나는 필터를 클릭하여 디바이스를 할당합니다.

단계 5

선택한 정책과 연결할 ASA 디바이스를 선택하고 OK(확인)를 클릭합니다.

참고

 

선택한 정책과 이미 연결된 디바이스에 대한 확인란이 선택됩니다.

빨간색 아이콘 이 표시되는 경우, 공유 시스템 설정 정책을 디바이스에 적용하는 중에 오류가 발생했음을 의미합니다. 문제를 해결하려면 ASA System Settings(ASA 시스템 설정) 페이지에서 정책을 클릭하고 Error Detected(오류 탐지) 창에서 Device Workflows(디바이스 워크플로우)를 클릭하여 추가 정보를 가져옵니다.

단계 6

변경한 사항을 검토하고 구축합니다.

디바이스별 시스템 설정 구성 또는 수정

디바이스별 시스템 설정은 Security Cloud Control를 사용하여 수정할 수 있는 ASA 디바이스에 해당하는 기존 값입니다. 공유 시스템 설정 정책 값을 원하는 매개변수의 기존의 디바이스 특정 값으로 재정의할 수 있습니다.

이 주제에서는 온보딩된 ASA 디바이스의 시스템 설정을 구성하는 방법에 대해 설명합니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

원하는 ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Settings(설정)를 클릭합니다.

선택한 ASA 디바이스의 디바이스별 시스템 설정이 표시됩니다.

참고

 

선택한 디바이스에 공유 시스템 설정 정책이 할당된 경우 Parent Policy(상위 정책)에서 정책을 열 수 있는 링크를 제공합니다. 디바이스 관련 설정 페이지에서 정책을 할당할 수도 있습니다. 선택한 정책과 연결할 ASA 디바이스를 선택하고 OK(확인)를 클릭합니다.

단계 4

원하는 시스템 설정의 값을 구성하거나 수정하고 Save(저장)를 클릭합니다.

참고

 

공유 및 디바이스별 시스템 설정에 대한 필드 설명은 동일하게 유지됩니다. 아래의 해당 링크를 클릭하면 자세한 내용을 확인할 수 있습니다.

Return to Security Devices(보안 디바이스로 돌아가기)를 클릭하여 Security Devices(보안 디바이스) 페이지로 이동할 수 있습니다.

단계 5

변경한 후 Save(저장)를 클릭합니다.

참고

 

해당 매개변수의 주황색 점()은 저장되지 않은 변경 사항을 강조 표시합니다.

Device-Specific Settings(디바이스별 설정) 페이지에서 정책 할당

온보딩된 ASA 디바이스의 디바이스별 설정 페이지에서 정책을 할당할 수도 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

원하는 ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Settings(설정)를 클릭합니다.

선택한 ASA 디바이스의 디바이스별 설정이 표시됩니다.

참고

 

선택한 디바이스에 공유 시스템 설정 정책이 할당된 경우 Parent Policy(상위 정책)에서 정책을 열 수 있는 링크를 제공합니다. 선택한 정책과 연결할 ASA 디바이스를 선택하고 OK(확인)를 클릭합니다.

단계 4

공유 시스템 설정 정책을 할당하려면 Parent Policy(상위 정책) 버튼을 클릭합니다.

단계 5

정책을 선택하고 Apply(적용)를 클릭합니다.

단계 6

변경한 사항을 검토하고 구축합니다.

공유 시스템 설정 정책에 ASA 디바이스 자동 할당

새 ASA 디바이스를 온보딩하거나 변경 사항을 확인하거나 기존 디바이스에 대한 대역 외 변경 사항을 전달할 때 Security Cloud Control는 다음을 확인합니다.

  • 디바이스별 설정이 기존 공유 시스템 설정 정책과 일치합니다. 일치하는 항목이 있으면 디바이스는 공유 시스템 설정 정책에 할당됩니다.

  • 온보딩된 디바이스의 디바이스별 설정은 서로 일치합니다. 그러면 새 공유 시스템 설정 정책이 자동으로 생성되고, 동일한 로컬 설정의 디바이스가 이 공유 정책에 할당됩니다.


참고

사용자가 생성했는지 또는 시스템이 생성했는지에 상관없이 공유 설정 정책의 이름을 변경할 수 있습니다.

ASA 공유 시스템 설정 정책 필터링

ASA System Setting(ASA 시스템 설정) 페이지에서 특정 공유 시스템 설정 정책을 검색하는 경우 문제 및 사용량을 기준으로 필터를 사용하여 검색을 좁히고 더 쉽게 원하는 항목을 찾을 수 있습니다.

Manage(관리) > Policies(정책) > ASA > System Settings(시스템 설정) > 를 클릭합니다.

  • Issues(문제):

    • Issue Detected(문제 탐지됨): 디바이스를 적용할 때 문제가 있는 정책만 표시됩니다.

    • No issue(문제 없음): 디바이스에 성공적으로 적용된 정책만 표시됩니다.

  • Usage(사용):

    • In Use(사용 중): 디바이스에 할당된 정책을 표시합니다.

    • Unused(사용되지 않음): 디바이스에 아직 할당되지않은 정책을 표시합니다.

공유 시스템 설정 정책에서 디바이스 연결 해제

ASA 디바이스가 공유 시스템 설정 정책에 더 이상 필요하지 않은 경우에는 쉽게 분리를 해제할 수 있습니다. 다음과 같은 경우 디바이스가 정책에서 분리됩니다.

  • 디바이스 관련 설정이 변경되며, 이 경우 공유 정책의 해당 설정이 디바이스의 기존 값을 유지하도록 구성되지 않습니다.

  • 디바이스는 공유 시스템 설정 정책에서 수동으로 분리됩니다.

  • 공유 시스템 설정 정책이 Security Cloud Control에서 삭제되었습니다. 이 경우 디바이스가 삭제되지는 않습니다. 공유 설정 정책 삭제의 내용을 참조하십시오.

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Policies(정책) > ASA > System Settings(시스템 설정)를 클릭합니다.

단계 3

공유 정책을 선택하고 Edit(편집)를 클릭합니다.

단계 4

정책 이름 옆에 나타나는 필터를 클릭하여 디바이스를 분리합니다.

단계 5

선택한 공유 시스템 설정 정책에서 분리하려는 디바이스의 선택을 취소하고 OK(확인)를 클릭합니다.

참고

 

변경 사항은 자동으로 저장되며 수동 구축이 필요하지 않습니다.

공유 설정 정책 삭제

일부 공유 설정 정책을 제거하려는 경우 하나 이상의 정책을 선택하고 삭제할 수 있습니다. 하지만 아직 디바이스에 적용되거나 커밋되지 않은 경우에만 삭제할 수 있습니다.

시작하기 전에

삭제하려는 공유 설정 정책에서 디바이스가 분리되어 있는지 확인합니다. 자세한 내용은 공유 시스템 설정에서 디바이스 연결 해제를 참조하십시오.

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Policies(정책) > ASA > System Settings(시스템 설정)를 클릭합니다.

단계 3

공유 정책을 선택하고 Delete(삭제)를 클릭합니다.

단계 4

OK(확인)를 클릭하여 작업을 확인합니다.

참고

 

Security Cloud Control에서 ASA를 삭제하면 디바이스 관련 설정 및 구성도 삭제되며 공유 설정 정책에서 디바이스 참조가 제거됩니다.

Security Cloud Control에서 ASA 라우팅

라우팅 프로토콜은 메트릭을 사용하여 패킷이 이동할 최적의 경로를 평가합니다. 메트릭은 경로 대역폭과 같은 측정 기준이며, 대상에 대한 최적 경로를 결정하는 라우팅 알고리즘에 사용됩니다. 라우팅 알고리즘은 경로 결정을 돕기 위해 경로 정보를 포함하는 라우팅 테이블을 초기화하고 유지합니다. 경로 정보는 사용된 경로 알고리즘에 따라 달라집니다.

라우팅 알고리즘은 다양한 정보로 라우팅 테이블을 채웁니다. 목적지 또는 다음 홉 연결은 최종 목적지로 향하는 과정에서 다음 홉에 해당하는 라우터에 패킷을 전달하는 것이 목적지에 도달하는 최적의 방식임을 라우터에 알립니다. 라우터가 수신 패킷을 수신하면 목적지 주소를 확인하고 이 주소를 다음 홉과 연결하려고 시도합니다.

라우팅 테이블은 또한 경로의 선호도와 같은 다른 정보도 포함합니다. 라우터는 메트릭을 비교하여 최적의 경로를 결정하고 이러한 메트릭은 사용된 라우팅 알고리즘의 설계에 따라 달라집니다.

라우터는 서로 통신하며 다양한 메시지의 전송을 통해 라우팅 테이블을 유지합니다. 라우팅 업데이트 메시지는 일반적으로 라우팅 테이블 전체 또는 일부로 구성되는 메시지입니다. 라우터는 다른 모든 라우터의 라우팅 업데이트를 분석함으로써 네트워크 토폴로지에 대한 자세한 그림을 그릴 수 있습니다. 라우터 간에 전송되는 메시지의 또 다른 예인 링크-상태 알림은 다른 라우터에 발신자 링크의 상태를 알려줍니다. 연결 정보는 라우터가 네트워크 목적지로의 최적의 경로를 결정할 수 있도록 네트워크 토폴로지의 완전한 그림을 그리는 데 사용됩니다.

ASA 고정 경로 정보

비연결 호스트 또는 네트워크에 트래픽을 라우팅하려면 정적 또는 동적 라우팅을 사용하여 해당 호스트 또는 네트워크로 가는 경로를 정의해야 합니다. 일반적으로 최소한 하나의 고정 경로를 구성해야 합니다. 다른 방법으로는 기본 네트워크 게이트웨이(대개는 다음 홉 라우터)에 라우팅되지 않는 모든 트래픽을 위한 기본 경로입니다.

ASA 라우팅 개념 및 CLI 명령에 대한 일반적인 정보는 다음 문서를 참조하십시오.

기본 라우터

가장 간단한 옵션은 트래픽을 라우팅해주는 라우터에 의존하여 모든 트래픽을 업스트림 라우터로 보내는 기본 정적 경로를 구성하는 것입니다. 기본 고정 경로는 ASA가 학습 경로나 고정 경로를 가지고 있지 않은 모든 IP 패킷을 보낼 게이트웨이 IP 주소를 식별합니다. 기본 정적 경로는 대상 IP 주소가 0.0.0.0/0(IPv4) 또는 ::/0(IPv6)인 정적 경로일 뿐입니다.

항상 기본 경로를 정의해야 합니다.

고정 경로

다음과 같은 경우, 고정 경로를 사용할 수 있습니다.

  • 네트워크에서 지원하지 않는 라우터 검색 프로토콜을 사용합니다.

  • 네트워크 규모가 작고 고정 경로를 쉽게 관리할 수 있습니다.

  • 트래픽이나 CPU 오버헤드를 라우팅 프로토콜과 연결하지 않는 것이 좋습니다.

  • 기본 경로만으로 충분하지 않을 때도 있습니다. 기본 게이트웨이가 목적지 네트워크에 도달할 수 없는 경우가 있기 때문에 보다 구체적인 고정 경로도 구성해야 합니다. 예를 들어 기본 게이트웨이가 밖에 있는 경우 기본 경로는 ASA에 직접 연결되지 않은 내부 네트워크로 트래픽을 안내할 수 없습니다.

  • 동적 라우팅 프로토콜을 지원하지 않는 기능을 사용 중입니다.

고정 경로 추적

고정 경로의 문제 중 하나는 경로가 정상인지 다운되었는지 확인할 수 있는 내재적인 메커니즘이 없다는 것입니다. 다음 홉 게이트웨이가 사용할 수 없게 되어도 라우팅 테이블에 남습니다. 고정 경로는 ASA의 연결된 인터페이스가 다운되는 경우에만 라우팅 테이블에서 제거됩니다.

고정 경로 추적 기능은 고정 경로의 가용성을 추적하고 기본 경로가 실패할 경우 보조 경로를 설치하는 수단을 제공합니다. 예를 들어 기본 ISP를 사용할 수 없는 경우에 대비하여 ISP 게이트웨이로의 기본 경로와 보조 ISP로의 보조 기본 경로를 정의할 수 있습니다.

ASA에서는 ASA에서 ICMP 에코 요청을 통해 모니터링하는 목적지 네트워크의 모니터링 대상 호스트와 고정 경로를 연결하는 방법으로 고정 경로 추적을 구현합니다. 에코 응답이 지정된 시간 동안 수신되지 않으면 호스트는 다운된 것으로 간주되며 연결된 경로가 라우팅 테이블에서 제거됩니다. 메트릭이 높은 비추적 백업 경로를 제거된 경로 대신 사용합니다.

모니터링 대상을 선택할 때, ICMP 에코 요청에 응답할 수 있는지 확인해야 합니다. 대상은 사용자가 선택하는 아무 네트워크 객체나 될 수 있지만 다음을 사용할 것을 고려해야 합니다.

  • ISP 게이트웨이(이중 ISP 지원) 주소.

  • 다음 홉 게이트웨이 주소(게이트웨이의 가용성이 우려되는 경우).

  • syslog 서버와 같이 ASA가 통신해야 하는 대상 네트워크에 있는 서버.

  • 목적지 네트워크에 있는 지속적인 네트워크 객체.

ASA 고정 경로 구성

고정 경로는 특정 목적지 네트워크로 향하는 트래픽을 어디로 보낼지 정의합니다.

이 섹션에서는 ASA 디바이스에 고정 경로를 추가하는 단계를 설명합니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭합니다.

단계 3

고정 경로를 구성할 디바이스를 선택합니다.

단계 4

오른쪽의 Management(관리) 창에서 Routing(라우팅)을 클릭합니다.

단계 5

를 클릭하여 고정 경로를 추가합니다.

단계 6

경로에 대한 Description(설명)을 입력할 수 있습니다.

단계 7

경로가 IPv4 주소인지 아니면 IPv6 주소인지를 선택합니다.

단계 8

경로 속성을 구성합니다.

  • Interface(인터페이스): 트래픽을 전송하는 데 사용할 인터페이스를 선택합니다. 이 인터페이스를 통해 게이트웨이 주소에 액세스할 수 있어야 합니다.

    Null0 경로를 사용하여 원치 않는 트래픽을 전달하여 트래픽이 삭제되도록 할 수 있습니다. 고정 Null0 경로는 성능을 향상시킵니다. 또한 라우팅 루프를 방지하는 데 고정 null0 경로를 사용할 수 있습니다.

    ASA CLI에서는 Null0 또는 null0 문자열을 모두 사용이 가능합니다.

  • Gateway(게이트웨이): (Null0 경로에는 적용되지 않음) 대상 네트워크에 대해 게이트웨이의 IP 주소를 식별하는 네트워크 개체를 선택합니다. 트래픽은 이 주소로 전송됩니다.

  • Metric(메트릭): 경로의 관리 거리(1~254)입니다. 정적 경로의 경우 기본값은 1입니다. 인터페이스와 게이트웨이 간에 추가 라우터가 있으면 홉 수를 관리 거리로 입력합니다.

    관리 거리는 경로를 비교하는 데 사용되는 파라미터입니다. 값이 작을수록 경로에는 더 높은 우선 순위가 지정됩니다. 연결된 경로(디바이스의 인터페이스에 직접 연결되는 네트워크)가 항상 고정 경로보다 우선적으로 사용됩니다.

  • Destination IP(대상 IP): 대상 네트워크를 식별하고 이 경로에서 게이트웨이를 사용하는 호스트를 포함하는 네트워크 개체를 선택합니다.

  • Destination Mask(대상 마스크)(IPv4 주소 지정에만 해당): 대상 IP의 서브넷 마스크를 입력합니다.

  • Tracking(추적)(IPv4 주소 지정에만 해당): 필드에 경로 추적 프로세스를 위한 고유한 식별자를 입력합니다.

단계 9

Save(저장)를 클릭합니다.

단계 10

변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA 고정 경로 편집

ASA 디바이스와 연결된 고정 경로 매개변수를 편집할 수 있습니다.


참고

그러나 고정 경로를 수정하는 동안 다른 IP 버전을 선택할 수는 없습니다. 또는 요구 사항에 따라 새 고정 경로를 생성할 수 있습니다.
프로시저

단계 1

고정 경로를 수정할 ASA 디바이스를 선택합니다.

단계 2

오른쪽의 Management(관리) 창에서 Routing(라우팅)을 클릭합니다.

단계 3

라우팅 목록 페이지에서 수정할 경로를 선택하고 오른쪽의 Actions(작업) 창에서 Edit(편집)를 클릭합니다.

단계 4

원하는 값을 수정하고 Save(저장)를 클릭합니다. 라우팅 매개변수에 대한 자세한 내용은 ASA 고정 경로 구성의 내용을 참조하십시오.

단계 5

변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

고정 경로 삭제

시작하기 전에

고정 경로를 삭제하면 디바이스의 로컬 SDC 또는 Security Cloud Control에 대한 연결에 영향을 줄 수 있습니다. 연결 손실에 대비하여 적절한 재해 복구 절차를 적용해야 합니다.

프로시저

단계 1

삭제할 ASA 디바이스를 선택합니다.

단계 2

오른쪽의 Management(관리) 창에서 Routing(라우팅)을 클릭합니다.

단계 3

라우팅 목록 페이지에서 수정할 경로를 선택하고 오른쪽의 Actions(작업) 창에서 Delete(삭제)를 클릭합니다.

단계 4

OK(확인)를 클릭하여 변경 사항을 확인합니다.

단계 5

변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

Security Cloud Control에서 보안 정책 관리

보안 정책에서 네트워크 트래픽을 검사하는 궁극적인 목표는 트래픽을 의도한 대상으로 허용하거나 보안 위협이 식별된 경우 트래픽을 삭제하는 것입니다. Security Cloud Control를 사용하여 다양한 유형의 디바이스에서 보안 정책을 구성할 수 있습니다.

ASA 네트워크 Security 정책 관리

ASA 네트워크 보안 정책 에는 ASA 방화벽 을 통해 다른 네트워크 에 액세스하는 트래픽 을 허용할지 아니면 거부할지를 결정하는 ACL(Access 액세스 제어 Lists)이 포함됩니다. 이 섹션에서는 ASA 액세스 목록을 생성하고 그 목록에서 액세스 규칙을 구성하는 단계를 간략하게 설명합니다. 또한 액세스 제어 목록에 인터페이스를 할당하고 Security Cloud Control에서 관리하는 다른 ASA 디바이스와 공유하는 단계에 대해서도 자세히 설명합니다.

ASA 액세스 제어 목록 및 액세스 그룹 정보

ASA 액세스 제어 목록

ACL(액세스 제어 목록)은 소스 및 대상 IP 주소, IP 프로토콜, 포트, 소스 및 기타 매개변수와 같은 다양한 특성을 기반으로 트래픽 플로우를 식별하는 데 사용됩니다.

다음은 액세스 목록 샘플입니다.

access-list ACL extended permit ip any any

ACL은 액세스 목록의 이름입니다.

여러 디바이스에서 개별적으로 동일한 액세스 목록을 생성하지 않고 단일 액세스 목록을 생성하여 여러 ASA 디바이스에서 공유할 수 있습니다. 공유 액세스 목록에 적용된 변경사항은 ACL이 할당된 모든 디바이스에 자동으로 적용됩니다. 필요에 따라 액세스 목록을 다른 ASA 디바이스에 복사할 수도 있습니다.

액세스 규칙

액세스 목록에는 소스 및 대상 IP 주소, IP 프로토콜, 포트 번호, 보안 그룹 태그 등의 특정 특성에 따라 네트워크에 대한 트래픽 플로우를 허용하거나 거부하는 액세스 규칙이 포함되어 있습니다.

ASA 액세스 그룹

액세스 그룹은 모든 방향의 트래픽 플로우에 대해 구성된 디바이스 인터페이스에 액세스 목록이 할당될 때 설정되는 특정 연결입니다. 액세스 목록에는 디바이스 인터페이스를 통과하는 트래픽을 허용하거나 거부하는 특정 규칙이 포함되어 있습니다.

다음은 디바이스 인터페이스가 액세스 목록에 할당될 때 생성되는 액세스 그룹 샘플입니다.

access-group ACL out interface giginterface0

ACL 은 액세스 목록의 이름이고 giginterface0은 액세스 목록에 할당된 디바이스 인터페이스의 논리적 이름입니다.


참고

API 엔드포인트를 사용하여 ASA 액세스 그룹을 관리하려면 Cisco DevNet 웹사이트 에서 Get Access Groups(액세스 그룹 가져오기)를 참조하십시오.

ASA 액세스 목록 생성

ASA 방화벽 에서 액세스 목록을 구성할 경우, 네트워크 외부의 소스 에서 대상 으로 트래픽 을 허용하는 규칙이 자동으로 생성됩니다. 추가 규칙을 생성하고 인터페이스에 액세스 목록을 할당하여 트래픽 네트워크 를 제어할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

Create Access List(액세스 목록 생성)를 클릭합니다.

단계 5

Name(이름) 필드에 액세스 목록에 대한 이름을 입력하고 Save(저장)를 클릭합니다.

참고

 

하나의 디바이스에 동일한 이름의 액세스 목록이 2개 있을 수는 없습니다.

단계 6

Save(저장)를 클릭합니다.

Security Cloud Control는 액세스 그룹 및 모든 트래픽을 허용하는 기본 규칙을 생성합니다.

이제 액세스 목록에 새 규칙을 추가할 수 있습니다. ASA 액세스 목록에 규칙 추가을 참조하십시오.

다음에 수행할 작업

ASA 액세스 목록에 규칙 추가

규칙 번호에 따라 오름차순으로 규칙을 추가할 수 있습니다. 패킷은 규칙이 생성된 순서대로 규칙에 따라 확인되며, 첫 번째 규칙이 우선하고 그 다음 규칙이 뒤따릅니다. 필요한 경우 규칙의 위치를 조정할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 원하는 액세스 목록을 선택합니다.

단계 5

오른쪽에 표시되는 Add Rule(규칙 추가)() 아이콘을 클릭합니다.

참고

 

정렬된 목록에서 원하는 위치 위로 마우스를 가져간 다음 Add Rule Here(여기에 규칙 추가)를 클릭합니다.

단계 6

New Access Rule(새 액세스 규칙) 창에서 다음 정보를 제공합니다.

  • Order(순서): 순서가 지정된 규칙 목록에 규칙을 삽입할 위치를 선택합니다. 규칙은 첫 번째 일치 기준으로 적용되며, 규칙 목록의 위치에 따라 1부터 마지막까지의 우선 순위가 지정됩니다.

  • Action(작업): 설명된 트래픽을 허용(허가)할지 또는 차단(삭제)할지 지정합니다.

  • Protocol(프로토콜): IP, TCP, UDP, ICMP 또는 ICMPv6과 같은 트래픽 프로토콜을 지정합니다. 기본값은 IP이지만, 더 세밀하게 트래픽 대상을 지정하기 위해 더 구체적인 프로토콜을 선택할 수도 있습니다.

  • Source/Destination(소스/대상): 소스(시작 주소) 및 대상(트래픽 플로우의 대상 주소)을 정의합니다. 일반적으로 호스트나 서브넷의 IPv4 주소를 구성하는데, 이는 네트워크 개체 그룹으로 나타낼 수 있습니다. 소스 또는 대상에는 하나의 개체만 할당할 수 있습니다.

    새 네트워크 개체 또는 그룹을 생성하려면 ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집을 참조하십시오.

  • Port(포트): TCP 또는 UDP와 같은 서비스 유형과 포트 번호 또는 포트 번호 범위를 쌍으로 구성하는 포트 개체를 선택합니다.

  • SGT Group(SGT 그룹): 목록에서 원하는 보안 그룹을 할당합니다. 기본값은 Any(모두)입니다. ASA 정책의 보안 그룹 태그를 참조하십시오.

  • Time Range(시간 범위): 시간을 기준으로 네트워크 및 리소스에 액세스할 수 있도록 ASA 네트워크 정책의 시간 범위를 정의합니다.

    ASA 시간 범위 개체를 참조하십시오.

  • Logging(기록): 네트워크 정책 규칙으로 인한 활동은 기본적으로 기록되지 않습니다. 개별 규칙에 대한 로깅을 활성화할 수 있습니다. 로그 규칙 활동을 참조하십시오.

단계 7

Save(저장)를 클릭합니다.

규칙이 액세스 그룹에 추가되고 활성 상태로 설정됩니다.

단계 8

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

시스템 로그 활성 정보

새 규칙을 설정할 때 해당 활동을 얼마나 자주, 어떤 심각도 수준으로 수집할지 지정할 수 있습니다. 이렇게 하려면 해당 심각도 수준을 선택한 다음 데이터 수집 빈도를 선택하면 됩니다. 이렇게 하면 규칙에 의해 생성된 활동을 모니터링하고 분석하는 데 필요한 정보를 확보할 수 있습니다.


참고

ASA는 심각도 레벨이 0(응급)인 Syslog 메시지를 생성하지 않습니다.

로그 기록이 업데이트되는 빈도를 나타내는 로깅 간격을 조정할 수 있는 옵션이 있습니다. 이 간격은 초 단위로 측정되며 1에서 600까지 설정할 수 있습니다. 기본적으로 간격은 300초로 설정되어 있습니다. 이 간격 값은 삭제 통계를 수집하는 캐시에서 비활성 플로우를 삭제하기 위한 시간 초과 값으로도 활용됩니다.

표 2. 로그 규칙 활동

Security Level(보안 레벨)

설명

emergencies(비상)

시스템을 사용할 수 없습니다.

경고

즉각적인 행동이 필요합니다.

중요

심각한 상태입니다.

오류

오류 상태입니다.

경고

경고 상태입니다.

notification(알림)

일반적이지만 중요한 상태입니다.

정보

정보를 제공하는 메시지만 해당.

debugging(디버깅)

디버깅 메시지만 해당됩니다.

액세스 제어 목록에서 규칙 비활성화

액세스 제어 목록에 새 규칙을 생성하는 경우, 이는 기본적으로 활성화됩니다. 그러나 트래픽 플로우를 최적화 하거나 충돌을 해결하거나 문제를 격리하려면 개별 규칙을 일시적으로 비활성화할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

Selected Access List(선택한 액세스 목록) 드롭다운 목록에서 원하는 액세스 제어 목록을 선택합니다.

단계 5

규칙 목록에서 원하는 해당 규칙 확인란을 선택합니다.

단계 6

선택한 행에서 Active(활성) 설정을 밀어 꺼냅니다.

단계 7

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 정책의 보안 그룹 태그 정보

액세스 제어 규칙에 SGT(보안 그룹 태그)를 사용하는 ASA를 온보딩하는 경우 Security Cloud Control는 SGT 그룹을 사용하는 규칙을 편집하고 이러한 규칙이 포함된 정책을 관리할 수 있습니다. 그러나 Security Cloud Control GUI를 사용하여 SGT 그룹을 생성하거나 편집할 수는 없습니다. SGT 그룹을 생성하거나 수정하려면 ASA의 ASDM(Adaptive Security Device Manager) 또는 Security Cloud Control에서 사용 가능한 CLI를 사용해야 합니다.

Security Cloud Control의 개체 페이지에서 SGT 그룹의 세부 정보를 볼 때 해당 개체가 편집 불가한 시스템 제공 개체로 식별되는 것을 확인할 수 있습니다.

Security Cloud Control 관리자는 SGT 그룹을 포함하는 ACL 및 ASA 정책에서 다음 작업을 수행할 수 있습니다.

  • 소스 및 대상 보안 그룹을 제외한 ACL의 모든 측면을 수정합니다.

  • 한 ASA에서 다른 ASA로 SGT 그룹을 포함하는 정책을 복사합니다.

명령줄 인터페이스를 사용하여 Cisco TrustSec을 구성하는 방법에 대한 자세한 지침은 해당 ASA 릴리스에 있는 ASA CLI 제2권: Cisco ASA Series 방화벽 CLI 구성 가이드의 "ASA 및 Cisco TrustSec" 장을 참조하십시오.

ASA 액세스 제어 목록에 인터페이스 할당

액세스 제어 목록에 ASA 인터페이스를 할당하면 디바이스는 목록과 인터페이스 간에 특정 연결을 설정합니다. 액세스 제어 목록과 관련된 규칙은 트래픽이 지정된 방향으로 흐르는 인터페이스에만 적용됩니다.

단일 트래픽 플로우 방향에 대해 인터페이스당 하나의 액세스 목록만 할당할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 목록을 선택합니다.

단계 5

오른쪽에 표시되는 Actions(작업) 창에서 Assign Interfaces(인터페이스 할당)을 클릭합니다.

단계 6

Interface(인터페이스) 드롭다운 목록에서 인터페이스를 선택합니다.

단계 7

방향 드롭다운 목록에서 선택한 액세스 목록을 적용할 방향을 지정합니다.

지정된 액세스 목록은 트래픽이 지정된 방향으로 흐르는 인터페이스에 적용됩니다. 이 액세스 목록은 여러 인터페이스와 방향에 적용할 수 있습니다.

ASA 디바이스의 모든 인터페이스에 액세스 목록을 적용하려면 ASA 전역 액세스 목록 생성을 참조하십시오.

단계 8

Save(저장)를 클릭합니다.

단계 9

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 전역 액세스 목록 생성

전역 액세스 정책은 ASA의 모든 인터페이스에 적용되는 네트워크 정책입니다. 이러한 정책은 인바운드 네트워크 트래픽에만 적용됩니다. 전역 액세스 정책을 만들어 일련의 규칙이 ASA의 모든 인터페이스에 균일하게 적용되도록 할 수 있습니다.

ASA에는 하나의 전역 액세스 정책만 구성할 수 있습니다. 하지만 다른 정책과 마찬가지로 전역 액세스 정책에도 둘 이상의 규칙이 할당될 수 있습니다.

ASA에서 규칙을 처리하는 순서는 다음과 같습니다.

  1. 인터페이스 액세스 규칙

  2. BVI(Bridge Virtual Interface) 액세스 규칙

  3. 전역 액세스 규칙

  4. 암시적 거부 규칙

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 목록을 선택합니다.

단계 5

오른쪽에 표시되는 Actions(작업) 창에서 Assign Interfaces(인터페이스 할당)을 클릭합니다.

단계 6

Create as a global access list(전역 액세스 목록으로 만들기) 확인란을 선택합니다.

단계 7

Save(저장)를 클릭합니다.

단계 8

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

여러 ASA 디바이스와 ASA 액세스 제어 목록 공유

네트워크 보안 에서 액세스 정책을 공유하면 효율성, 일관성 및 중앙 집중식 관리 가 효과적으로 개선되어, 보안 태세 상태가 전반적으로 향상됩니다. ASA 디바이스 간에 액세스 제어 목록을 공유하려면 액세스 제어 목록을 생성하고 단일 ASA 디바이스에서 액세스 규칙을 정의한 다음 원하는 ASA 디바이스를 개별적으로 구성하는 대신 공유합니다. 이는 네트워크의 일관성을 보장하고 구성이 잘못될 위험을 줄입니다. 또한 공유 액세스 제어 목록은 증가하는 사용자와 ASA 디바이스에 대한 액세스 제어 목록을 관리할 수 있도록 함으로써 성장하고 발전하는 네트워크에 대한 확장성을 제공합니다.

다음에 유의해야 합니다.

  • 액세스 제어 목록 규칙은 공유되지만 인터페이스는 포함되지 않습니다.

  • 다른 ASA 디바이스와 액세스 제어 목록을 공유하면 같은 이름의 기존 액세스 제어 목록을 덮어쓰게 됩니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 제어 목록을 선택합니다.

단계 5

오른쪽의 표시되는 Actions(작업) 창에서 Share(공유)를 클릭합니다.

단계 6

해당 확인란을 선택하여 ASA 디바이스를 선택하고 Save(저장)를 클릭합니다.

표시된 Device Relationships(디바이스 관계) 창에는 선택한 액세스 제어 목록을 공유하는 ASA 디바이스가 표시됩니다.

단계 7

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 액세스 목록을 다른 ASA로 복사

ASA 액세스 제어 목록은 동일한 테넌트의 다른 Security Cloud Control 매니지드 디바이스에 쉽게 복사할 수 있습니다. 액세스 목록 파일을 대상 ASA 디바이스에 복사한 후에는 액세스 그룹에 대한 추가 변경 사항이 대상 디바이스에 자동으로 적용되지 않습니다. 이 기능은 변경 사항이 자동으로 적용되는 접근 제어 목록 공유 기능과는 다릅니다.

다음에 유의해야 합니다.

  • 디바이스에 동일한 이름의 다른 액세스 목록이 이미 있는 경우 액세스 목록을 대상 디바이스에 복사할 수 없습니다.

  • 대상 디바이스의 다른 액세스 목록이 동일한 인터페이스 및 방향으로 연결된 경우 액세스 목록을 복사할 수 없습니다.

  • 액세스 목록은 대상 디바이스에서 비활성화된 인터페이스에만 복사할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 목록을 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Copy(복사)를 클릭합니다.

단계 6

액세스 목록을 복사할 대상 디바이스를 선택합니다.

단계 7

인터페이스를 선택하고 선택한 액세스 목록을 적용하기 위해 방향을 지정합니다.

지정된 액세스 목록은 트래픽이 지정된 방향으로 흐르는 인터페이스에 적용됩니다. 이 액세스 목록은 여러 인터페이스와 방향에 적용할 수 있습니다.

선택한 대상 디바이스의 모든 인터페이스에 액세스 목록을 적용하려면 ASA 전역 액세스 목록 생성을 참조하십시오.

단계 8

Copy(복사)를 클릭합니다.

복사가 성공하면 Security Cloud Control 화면의 오른쪽 하단에 메시지가 표시됩니다.

단계 9

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 액세스 목록 및 디바이스 내에서 또는 전반에 규칙 복사

다음과 같은 방법으로 액세스 제어 규칙을 복사할 수 있습니다.

  • 동일한 액세스 목록 내에서 가능합니다.

  • 동일한 ASA 디바이스 내 또는 여러 ASA 디바이스 전반에서 한 액세스 목록에서 다른 액세스 목록으로 이동할 수 있습니다.


참고

액세스 목록에 이미 있는 규칙을 추가하려고 하면 붙여넣기 작업이 실패합니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 원하는 액세스 목록을 선택합니다.

단계 5

해당 확인란을 클릭하여 규칙을 선택하고 오른쪽의 Actions(작업) 창 에서 Copy(복사)를 클릭합니다.

단계 6

다음을 수행하십시오.

  • 동일한 액세스 목록 내에 규칙을 붙여넣으려면 Paste Rule Here(여기에 규칙 붙여넣기) 옵션이 표시될 때까지 원하는 위치에서 마우스 포인터를 이동하여 클릭합니다. 규칙 추가/편집 대화 상자가 표시되어 복사한 규칙을 수정할 수 있습니다. 동일한 규칙은 동일한 액세스 목록에서 허용되지 않기 때문입니다.
  • 동일한 ASA 디바이스에 규칙을 붙여넣으려면 Selected Access List(선택한 액세스 목록) 드롭다운 목록에서 원하는 액세스 목록을 선택합니다.
  • 다른 ASA 디바이스에 규칙을 붙여넣으려면 왼쪽 창 에서 Manage(관리) > Security Devices(보안 디바이스) > select an ASA device(ASA 디바이스 선택) > Policy(정책) > Selected Access List(선택한 액세스 목록)으로 이동합니다.

단계 7

복사한 규칙을 원하는 위치에 붙여넣으려면 새 규칙을 배치할 위치 뒤에 오는 규칙을 선택합니다. 오른쪽의 Actions(작업) 창에서 Paste(붙여넣기)를 클릭합니다. 복사한 규칙이 선택한 규칙 앞에 삽입됩니다.

Move Up(위로 이동)Move Down(아래로 이동) 버튼을 사용하여 필요에 따라 규칙을 배치할 수 있습니다.

참고

 

또는 규칙 목록 테이블에서 원하는 위치 위에 마우스를 올려놓고 Paste Rule Here(여기에 규칙 붙여넣기) 표시되면 클릭합니다.

공유 ASA 액세스 제어 목록 공유 해제

네트워크를 처리하는 인터페이스에 적용되는 규칙이 오래된 경우 현재 연결된 디바이스에서 액세스 제어 목록을 공유 해제할 수 있습니다. 공유 액세스 제어 목록에서 ASA 디바이스의 공유를 해제해도 현재 이 목록을 공유하고 있는 다른 ASA 디바이스에 영향을 주지 않습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 액세스 목록을 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Share(공유)를 클릭합니다.

단계 6

선택한 액세스 목록을 공유하는 ASA 디바이스의 선택을 해제하고 Save(저장)를 클릭합니다.

단계 7

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 액세스 정책 목록 페이지 보기

ASA 액세스 정책 목록 페이지에는 Security Cloud Control 테넌트에 온보딩된 ASA 디바이스와 연결된 모든 액세스 목록에 대한 포괄적인 개요가 표시됩니다.


참고

필터() 버튼을 클릭한 다음 Filter by Device(디바이스별 필터)를 클릭하여 여러 ASA 디바이스 간에 공유되는 정책이나 단일 ASA 디바이스에만 해당하는 정책을 검색합니다.

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 클릭합니다Manage(관리) > Policies(정책) > ASA > Access Policies(액세스 정책).

이 페이지에서는 다음 정보를 제공합니다.

  • Name(이름): 액세스 목록의 이름.

  • Device(디바이스): 각 액세스 목록과 연결된 해당 ASA 디바이스. 또한 여러 디바이스에서 공유되는 액세스 목록의 경우 공유 액세스 목록을 사용하는 모든 ASA 디바이스의 목록을 표시합니다.

    버튼을 클릭하여 선택한 액세스 목록과 연결된 ASA 디바이스를 확인합니다.

    선택한 디바이스의 정책 페이지로 이동하려면 View Policies(정책 보기)를 클릭합니다. 액세스 목록을 생성하거나 편집할 수 있습니다.

    이 페이지로 돌아가려면 ASA Access Policies(ASA 액세스 정책)를 클릭합니다.

  • Interfaces(인터페이스): 각 액세스 목록이 할당되는 네트워크 인터페이스.

단계 3

액세스 목록과 연결된 ASA 디바이스를 보려면 Device(디바이스) 열에서 해당 버튼을 클릭합니다.

단계 4

선택한 디바이스의 정책 페이지로 이동하려면 View Policies(정책 보기)를 클릭합니다. 액세스 목록을 생성하거나 편집할 수 있습니다.

단계 5

정책 목록 페이지로 돌아가려면 왼쪽 상단에서 ASA Access Policies(ASA 액세스 정책)를 클릭합니다.

ASA 액세스 목록의 전역 검색

전역 검색 기능을 사용하여 Security Cloud Control 테넌트에서 다음을 검색합니다.

  • ASA 디바이스 및 모든 관련 액세스 목록.

  • 모든 온보딩된 ASA 디바이스에서의 액세스 목록 또는 공유 액세스 목록 및 해당 어커런스.

자세한 내용은 전역 검색을 참조하십시오.

ASA 액세스 제어 목록 이름 변경

특정 요구에 맞게 액세스 목록의 이름을 수정할 수 있습니다. 전역 액세스 목록의 이름을 변경하거나 공유 액세스 제어 목록의 이름을 변경하는 것은 간단한 프로세스입니다. 액세스 목록을 공유하는 경우, 이름을 변경하면 공유 액세스 제어 목록을 사용하는 다른 모든 디바이스에서 이름이 업데이트됩니다. 업데이트된 이름은 구성이 해당 디바이스에 구축된 후에만 반영된다는 점에 유의하십시오.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 이름을 변경하려는 액세스 목록을 선택합니다.

단계 5

세부 정보 창에서 이름 변경() 아이콘을 클릭합니다.

단계 6

Save(저장)() 버튼을 클릭합니다.

단계 7

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 구축합니다.

ASA 액세스 제어 목록에서 규칙 삭제

액세스 목록에서 액세스 규칙을 제거할 수 있지만, 적어도 하나의 규칙이 유지되어야 목록이 존재합니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽의 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

액세스 목록을 클릭하고 삭제할 규칙을 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Remove(제거)를 클릭합니다.

단계 6

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA 액세스 제어 목록 삭제

이 절차를 사용하여 액세스 제어 목록, 공유 액세스 목록 또는 전역 액세스 목록을 삭제할 수 있습니다. 한 디바이스에서 공유 액세스 목록을 삭제해도 해당 액세스 목록이 사용 중인 다른 디바이스에는 영향을 주지 않습니다. 이러한 디바이스에서 액세스 목록은 로컬 액세스 목록으로 유지됩니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 탭을 클릭하고 해당 체크 박스 를 선택하여 ASA 디바이스를 선택합니다.

단계 3

오른쪽에 표시된 Management(관리) 창에서 Policy(정책)를 클릭합니다.

단계 4

선택한 액세스 목록 드롭다운 목록에서 삭제하려는 액세스 목록을 선택합니다.

단계 5

오른쪽의 Actions(작업) 창에서 Delete(삭제)를 클릭합니다.

단계 6

지금 변경한 내용을 검토 및 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA 네트워크 정책 비교

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Policies(정책) > ASA > Access Policies(액세스 정책)를 클릭합니다.

Step 3

뷰어의 오른쪽 상단에서 Compare(비교)를 클릭합니다.

Step 4

비교할 최대 2개의 정책을 선택합니다.

Step 5

뷰어 하단에서 View Comparison(비교 보기)를 클릭합니다. 그러면 비교 뷰어가 나타납니다. 마치면 Done(완료)을 클릭한 다음 Done Comparing(비교 완료)를 클릭합니다.

적중률

Security Cloud Control를 사용하면 클라우드의 단일 창에서 보다 정확한 정책 분석 및 근본 원인에 대한 즉각적인 조치 가능한 피벗을 위한 간단한 시각화를 제공하여 정책 규칙의 결과를 평가할 수 있습니다. 적중률 기능을 사용하면 다음을 수행할 수 있습니다.

  • 보안 상태를 증가하는 사용되지 않는 정책 규칙을 제거합니다.

  • 병목 현상을 즉시 식별하여 방화벽 성능을 최적화하고 정확하고 효율적인 우선순위를 적용합니다(예: 가장 많이 트리거되는 정책 규칙이 우선순위가 높음).

  • 구성된 데이터 보존 기간(1년)에 대한 디바이스 또는 정책 규칙 재설정 시에도 적중률 기록 정보 유지

  • 실행 가능한 정보를 기반으로 의심스러운 섀도우 및 사용되지 않는 규칙에 대한 검증을 강화합니다. 업데이트 또는 삭제에 대한 의심 제거

  • 사전 정의된 시간 간격(일, 주, 월, 연도) 및 실제 적중 횟수(0, >100, >100k 등)를 활용하여 전체 정책에 대한 컨텍스트에서 정책 규칙 사용을 시각화하여 네트워크를 통과하는 패킷에 대한 영향을 평가합니다.

ASA 정책의 적중률 보기

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Policies(정책) > ASA > System Settings(시스템 설정)를 클릭합니다.

단계 3

필터 아이콘을 클릭하고 필터를 열린 상태로 고정합니다.

단계 4

Hits(적중) 영역에서 다양한 적중 횟수 필터를 클릭하여 다른 정책보다 적중 빈도가 높거나 낮은 정책을 표시합니다.

액세스 목록에서 ASA 네트워크 규칙 검색 및 필터링

검색

검색 표시줄을 사용하여 액세스 목록 내의 규칙 이름에서 이름, 키워드 또는 구를 검색합니다. 검색은 대/소문자를 구분하지 않습니다.

필터

필터 사이드바를 사용하여 네트워크 정책 문제를 찾습니다. 필터링은 추가되지 않으며 각 필터 설정은 서로 독립적으로 작동합니다.

정책 문제

Security Cloud Control는 섀도우 규칙이 포함된 네트워크 정책을 식별합니다. 섀도우 규칙을 포함하는 정책의 수는 정책 문제 필터에 표시됩니다.

Security Cloud Control는 네트워크 정책 페이지에서 섀도우 배지 shadow_badge.png로 섀도우 규칙과 이를 포함하는 네트워크 정책을 표시합니다. 섀도우 규칙을 포함하는 모든 정책을 보려면 Shadowed(숨겨짐)을 클릭합니다. 자세한 내용은 섀도우 규칙을 참조하십시오.

Hits(히트)

이 필터를 사용하여 지정된 기간 동안 여러 번 트리거된 액세스 목록에서 규칙을 찾으십시오.

활용 사례 필터링

적중 횟수가 0인 모든 규칙 찾기

적중 항목이 없는 규칙이 있는 경우, 규칙을 수정하여 더 효과적으로 만들거나 간단히 삭제할 수 있습니다.

  1. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Policy(정책)을 클릭합니다.

  2. 기존 필터를 지우려면 규칙 테이블 위에서 Clear(지우기)를 클릭합니다.

  3. 필터 아이콘을 클릭하고 Hits(적중) 필터를 확장합니다.

  4. 기간을 선택합니다.

  5. 0개의 적중 횟수를 선택합니다.

네트워크 정책의 규칙이 적중되는 빈도 확인

  1. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Policy(정책)을 클릭합니다.

  2. 기존 필터를 지우려면 규칙 테이블 위에서 Clear(지우기)를 클릭합니다.

  3. 필터 아이콘을 클릭하고 Hits(적중) 필터를 확장합니다.

  4. 기간을 선택합니다.

  5. 다른 적중 필터를 선택하여 다른 규칙이 어떤 범주에 속하는지 확인합니다.

적중률을 기준으로 네트워크 정책 필터링

  1. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Policy(정책)을 클릭합니다.

  2. 기존 필터를 지우려면 규칙 테이블 위에서 Clear(지우기)를 클릭합니다.

  3. 필터 아이콘을 클릭하고 Hits(적중) 필터를 확장합니다.

  4. 기간을 선택합니다.

  5. 다양한 적중률 범주를 선택합니다. Security Cloud Control는 지정한 비율로 적중되는 규칙을 표시합니다.

섀도우 규칙

섀도우 규칙이 있는 네트워크 정책은 정책에 있는 하나 이상의 규칙이 선행하는 규칙이 섀도우 규칙에 의해 패킷이 평가되는 것을 방지하기 때문에 절대 트리거되지 않는 정책입니다.

예를 들어 "예제" 네트워크 정책에서 다음과 같은 네트워크 개체 및 네트워크 규칙을 고려하십시오.

object network 02-50 
range 10.10.10.2 10.10.10.50 
object network 02-100 
range 10.10.10.2 10.10.10.100
access-list example extended deny ip any4 object 02-50 
access-list example extended permit ip host 10.10.10.35 object 02-50 
access-list example extended permit ip any4 object 02-100
이 규칙에 의해 트래픽이 평가되지 않습니다. 
access-list example extended permit ip host 10.10.10.35 object 02-50
이전 규칙 때문에, 
access-list example extended deny ip any4 object 02-50
ipv4 주소가 10.10.10.2 - 10.10.10.50 범위의 주소에 도달하는 것을 거부합니다.

섀도우 규칙이 있는 네트워크 정책 찾기

섀도우 규칙이 있는 네트워크 정책을 찾으려면 네트워크 정책 필터를 사용합니다.

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Policies(정책) > ASA > Access Policies(액세스 정책)를 클릭합니다.

Step 3

ASA Access Policies(ASA 액세스 정책) 테이블 상단에 있는 필터 아이콘을 클릭합니다.

Step 4

정책 문제 필터에서 Shadowed(섀도우)를 선택하여 섀도우 규칙이 있는 모든 정책을 확인합니다.

섀도우 규칙 문제 해결

Security Cloud Control가 위의 "예시" 네트워크 정책에 설명된 규칙을 표시하는 방법입니다.

라인 1의 규칙은 정책의 다른 규칙을 섀도잉하므로 섀도우 경고 배지 로 표시됩니다.우 라인 2의 규칙은 정책의 다른 규칙에 의해 섀도우된 로 표시됩니다. 라인 2의 규칙에 대한 작업은 정책의 다른 규칙에 의해 섀도우되어 있으므로 회색으로 표시됩니다. Security Cloud Control는 정책에서 어떤 규칙이 라인 2의 규칙을 가리는지 알려줄 수 있습니다.

라인 3의 규칙은 일부 시간에만 트리거될 수 있습니다. 이것은 부분적으로 섀도우 규칙입니다. 10.10.10.2-10.10.10.50 범위의 IP 주소에 도달하려는 모든 IPv4 주소의 네트워크 트래픽은 첫 번째 규칙에 의해 이미 거부되었기 때문에 평가되지 않습니다. 그러나 10.10.10.51-10.10.10.100 범위의 주소에 도달하려는 모든 IPv4 주소는 마지막 규칙에 의해 평가되고 허용됩니다.


Caution

Security Cloud Control는 부분적으로 음영 처리된 규칙에 섀도우 경고 배지 를 적용하지 않습니다.

Procedure

Step 1

정책에서 섀도우 규칙을 선택합니다. 위의 예에서는 줄 2를 클릭하는 것을 의미합니다.

Step 2

규칙 세부 정보 창에서 Shadowed By 영역을 찾습니다. 이 예에서 2행의 규칙에 대한 Shadowed By 영역은 1행의 규칙에 의해 섀도우 처리되고 있음을 보여줍니다.

Step 3

섀도우 처리 중인 규칙을 검토합니다. 너무 광범위합니까? 섀도우 처리된 규칙을 검토합니다. 정말로 필요하십니까? 섀도잉 처리 중인 규칙을 수정하거나 섀도잉 처리된 규칙을 삭제합니다.

Note

 

섀도우 규칙을 삭제하면 ASA의 ACE(Access Control Entry) 수가 줄어듭니다. 이렇게 하면 다른 ACE와 함께 다른 규칙을 만들 공간을 확보할 수 있습니다. Security Cloud Control는 네트워크 정책의 모든 규칙에서 파생된 ACE 수를 계산하고 네트워크 정책 세부 정보 창 상단에 총계를 표시합니다. 네트워크 정책의 규칙 중 섀도우 규칙이 있으면 해당 번호도 나열됩니다.

또한 Security Cloud Control는 네트워크 정책의 단일 규칙에서 파생된 ACE의 수를 표시하고 네트워크 정책 세부 정보 창에 해당 정보를 표시합니다. 다음은 해당 목록의 예입니다.

Step 4

네트워크 정책 세부 정보 창의 Devices(디바이스) 영역에서 정책을 사용하는 디바이스를 확인합니다.

Step 5

Security Devices(보안 디바이스) 페이지를 열고 정책 변경의 영향을 받는 디바이스에 다시 변경사항을 구축합니다.

네트워크 주소 변환

IP 네트워크 내의 각 컴퓨터와 디바이스에는 호스트를 식별하는 고유한 IP 주소가 할당됩니다. 공용 IPv4 주소의 부족 때문에 이러한 IP 주소는 대부분 사설이며, 사설 회사 네트워크 외부로 라우팅되지 않습니다. RFC 1918의 정의에 따르면 사설 IP 주소는 내부적으로 사용할 수 있지만 외부에 알려서는 안 되는 주소입니다.

  • 10.0.0.0~10.255.255.255

  • 172.16.0.0 ~ 172.31.255.255

  • 192.168.0.0~192.168.255.255

NAT의 주요 기능 중 하나는 사설 IP 네트워크가 인터넷에 연결되도록 하는 것입니다. NAT는 사설 IP 주소를 공용 IP 주소로 교체하여, 내부 사설 네트워크의 사설 주소를 공용 인터넷에서 사용할 수 있는 합법적이고 라우팅 가능한 주소로 전환합니다. 이렇게 하여 NAT는 공용 주소를 절약합니다. 전체 네트워크에 대해 최소 하나의 공용 주소만 외부에 알리도록 구성할 수 있기 때문입니다.

NAT의 기타 기능은 다음과 같습니다.

  • 보안 - 직접 공격을 피할 수 있도록 내부 IP 주소를 숨깁니다.

  • IP 라우팅 솔루션 - NAT를 사용하는 경우 중첩 IP 주소 문제가 발생하지 않습니다.

  • 유연성 - 외부적으로 사용 가능한 공용 주소에 영향을 주지 않고 내부 IP 주소 지정 방식을 변경할 수 있습니다. 예를 들어 인터넷에 액세스할 수 있는 서버의 경우, 인터넷용으로는 고정 IP 주소를 유지하고 내부적으로는 서버 주소를 변경할 수 있습니다.

  • IPv4와 IPv6 간 변환(라우팅된 방식 전용) - IPv6 네트워크를 IPv4 네트워크에 연결하려는 경우 NAT를 이용하면 두 가지 주소 유형 간에 변환할 수 있습니다.

Security Cloud Control를 사용하여 다양한 활용 사례에 대한 NAT 규칙을 생성할 수 있습니다. NAT 규칙 마법사 또는 다음 항목을 사용하여 다른 NAT 규칙을 생성합니다.

NAT 규칙 처리 순서

네트워크 개체 NAT 규칙과 2회 NAT 규칙은 세 개의 섹션으로 구분되는 단일 테이블에 저장됩니다. 섹션 1 규칙이 먼저 적용된 다음, 일치가 발견될 때까지 섹션 2, 마지막으로 섹션 3이 적용됩니다. 예를 들어 섹션 1에서 일치가 발견되면 섹션 2와 3은 평가되지 않습니다. 다음 표는 각 섹션 내의 규칙 순서를 보여줍니다.

Table 3. NAT 규칙 테이블

테이블 섹션

규칙 유형

섹션 내 규칙의 순서

섹션 1

2회 NAT(ASA)

수동 NAT(FTD)

첫 번째 일치부터 구성에 나타나는 순서대로 적용됩니다. 첫 번째 일치가 적용되므로, 일반 규칙 앞에 특수 규칙이 오도록 해야 합니다. 그렇지 않으면 특수 규칙이 원하는 대로 적용되지 않을 수 있습니다. 기본적으로 2회 NAT 규칙은 섹션 1에 추가됩니다.

섹션 2

네트워크 개체 NAT(ASA)

자동 NAT(FTD)

섹션 1에서 일치하는 항목을 찾을 수 없으면 섹션 2 규칙이 다음 순서로 적용됩니다.

  1. 고정 규칙

  2. 동적 규칙

각 규칙 유형 내에서는 다음의 순서 지침이 사용됩니다.

  1. 실제 IP 주소의 수량 - 가장 적은 것에서 가장 많은 것. 예를 들면 주소가 1개인 개체가 주소가 10개인 개체보다 먼저 평가됩니다.

  2. 수량이 동일한 경우 IP 주소 번호가 낮은 것에서 높은 것 순으로 사용됩니다. 예를 들면, 10.1.1.0이 11.1.1.0보다 먼저 평가됩니다.

  3. IP 주소가 동일한 경우 네트워크 개체의 이름이 알파벳순으로 사용됩니다. 예를 들어 "Arlington" 개체는 "Detroit" 개체보다 먼저 평가됩니다.

섹션 3

2회 NAT(ASA)

수동 NAT(FTD)

아직도 일치가 발견되지 않으면 섹션 3 규칙이 첫 번째부터 구성에 나타나는 순서대로 적용됩니다. 이 섹션에는 가장 일반적인 규칙을 포함해야 합니다. 또한 이 섹션에서는 특정 규칙이 일반 규칙보다 먼저 적용되도록 해야 합니다.

예를 들어 섹션 2 규칙의 경우 네트워크 개체 내에서 다음 IP 주소를 정의합니다.

  • 192.168.1.0/24(고정)

  • 192.168.1.0/24(동적)

  • 10.1.1.0/24(고정)

  • 192.168.1.1/32(고정)

  • 172.16.1.0/24(동적) (개체 Detroit)

  • 172.16.1.0/24(동적)(개체 Arlington)

결과 순서는 다음과 같습니다.

  • 192.168.1.1/32(고정)

  • 10.1.1.0/24(고정)

  • 192.168.1.0/24(고정)

  • 172.16.1.0/24(동적)(개체 Arlington)

  • 172.16.1.0/24(동적) (개체 Detroit)

  • 192.168.1.0/24(동적)

네트워크 주소 변환 마법사

NAT(Network Address Translation) 마법사는 다음 유형의 액세스에 대해 디바이스에서 NAT 규칙을 만드는 데 도움이 됩니다.

  • 내부 사용자의 인터넷 액세스를 활성화합니다. 이 NAT 규칙을 사용하여 내부 네트워크의 사용자가 인터넷에 연결할 수 있습니다.

  • 내부 서버를 인터넷에 노출합니다. 이 NAT 규칙을 사용하여 네트워크 외부의 사람들이 내부 웹 또는 이메일 서버에 도달하도록 허용할 수 있습니다.

"내부 사용자를 위한 인터넷 액세스 활성화"의 전제 조건

NAT 규칙을 생성하기 전에 다음 정보를 수집하십시오.

  • 사용자에게 가장 가까운 인터페이스 이것은 일반적으로 "내부" 인터페이스라고 합니다.

  • 인터넷 연결에 가장 가까운 인터페이스 이것은 일반적으로 "외부" 인터페이스라고 합니다.

  • 특정 사용자만 인터넷에 연결할 수 있도록 하려면 해당 사용자의 서브넷 주소가 필요합니다.

"내부 서버를 인터넷에 노출"하기 위한 전제 조건

NAT 규칙을 생성하기 전에 다음 정보를 수집하십시오.

  • 사용자에게 가장 가까운 인터페이스 이것은 일반적으로 "내부" 인터페이스라고 합니다.

  • 인터넷 연결에 가장 가까운 인터페이스 이것은 일반적으로 "외부" 인터페이스라고 합니다.

  • 인터넷 연결 IP 주소로 변환하려는 네트워크 내부 서버의 IP 주소입니다.

  • 서버에서 사용할 공용 IP 주소입니다.

다음 작업

NAT 마법사를 사용하여 NAT 규칙 생성의 내용을 참조하십시오.

NAT 마법사를 사용하여 NAT 규칙 생성

Before you begin

NAT 마법사를 사용하여 NAT 규칙을 만드는 데 필요한 사전 요구 사항은 네트워크 주소 변환 마법사를 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

filter(필터)Search(검색) 필드를 사용하여 NAT 규칙을 생성하려는 디바이스를 찾으십시오.

Step 5

상세정보 패널의 Management(관리) 영역에서 NAT를 클릭합니다.

Step 6

> NAT Wizard(NAT 마법사)를 클릭합니다.

Step 7

NAT 마법사 질문에 응답하고 화면의 지시를 따르십시오.

  • NAT 마법사는 네트워크 개체를 사용하여 규칙을 생성합니다. 드롭다운 메뉴에서 기존 개체를 선택하거나 만들기 버튼 를 사용하여 새 개체를 생성합니다.

  • NAT 규칙을 저장하려면 먼저 모든 IP 주소를 네트워크 개체로 정의해야 합니다.

Step 8

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

NAT의 일반적인 사용 사례

2회 NAT 및 수동 NAT

다음은 "자동 NAT"라고도 하는 "네트워크 개체 NAT"를 사용하여 수행할 수 있는 몇 가지 일반적인 작업입니다.

네트워크 개체 및 NAT자동 NAT

다음은 "수동 NAT"라고도 하는 "Twice NAT"를 사용하여 수행할 수 있는 일반적인 작업입니다.

공용 IP 주소를 사용하여 인터넷에 연결하도록 내부 네트워크의 서버 활성화

활용 사례

인터넷에서 액세스해야 하는 사설 IP 주소가 있는 서버가 있고 사설 IP 주소에 대해 하나의 공용 IP 주소를 NAT하기에 충분한 공용 IP 주소가 있는 경우 이 NAT 전략을 사용합니다. 공용 IP 주소가 제한된 경우 공용 IP 주소의 특정 포트에서 사용자가 사용할 수 있는 내부 네트워크의 서버 만들기를 참조하세요(해당 솔루션이 더 적합할 수 있음).

전략

서버에는 정적 사설 IP 주소가 있으며 네트워크 외부의 사용자는 서버에 연결할 수 있어야 합니다. 고정 사설 IP 주소를 고정 공용 IP 주소로 변환하는 네트워크 개체 NAT 규칙을 생성합니다. 그런 다음 해당 공용 IP 주소에서 사설 IP 주소에 도달하는 트래픽을 허용하는 액세스 정책을 생성합니다. 마지막으로 이러한 변경 사항을 디바이스에 구축합니다.

Before you begin

시작하기 전에 두 개의 네트워크 개체를 생성합니다. 하나의 개체는 servername_inside로 이름을 지정하고 다른 개체는 servername_outside로 이름을 지정합니다. servername_inside 네트워크 개체는 서버의 사설 IP 주소를 포함해야 합니다. servername_outside 네트워크 개체에는 서버의 공용 IP 주소가 포함되어야 합니다.

지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  1. 원본 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 servername_inside 개체를 선택합니다.

  2. 변환된 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 servername_outside 개체를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

ASA의 경우 네트워크 정책 규칙을 구축하거나 기다렸다가, FDM 관리 디바이스의 경우 액세스 제어 정책 규칙을 구축하여 트래픽이 servername_inside에서 servername_outside로 흐를 수 있도록 합니다.

Step 14

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network servername_outside
host 209.165.1.29
object network servername_inside
host 10.1.2.29

이 절차에 의해 생성된 NAT 규칙

object network servername_inside
 nat (inside,outside) static servername_outside

내부 네트워크의 사용자가 외부 인터페이스의 공용 IP 주소를 사용하여 인터넷에 액세스하도록 활성화

활용 사례

외부 인터페이스의 공용 주소를 공유하여 개인 네트워크의 사용자와 컴퓨터가 인터넷에 연결할 수 있도록 합니다.

전략

사설 네트워크의 모든 사용자가 디바이스의 외부 인터페이스 공용 IP 주소를 공유할 수 있도록 허용하는 포트 주소 변환(PAT) 규칙을 생성합니다.

사설 주소가 공용 주소 및 포트 번호에 매핑된 후 디바이스는 해당 매핑을 기록합니다. 해당 공용 IP 주소 및 포트로 향하는 들어오는 트래픽이 수신되면 디바이스는 이를 요청한 사설 IP 주소로 다시 보냅니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, 유형 에서 Dynamic(동적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, 인터페이스에서, 소스 인터페이스로 any(아무거나)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서, 다음 작업을 수행합니다.

  1. 원래 주소 메뉴를 확장하고, Choose(선택)을 클릭한 다음 네트워크 구성에 따라 any-ipv4 또는 any-ipv6 개체를 선택합니다.

  2. 변환된 주소 메뉴를 확장하고 사용 가능한 목록에서 인터페이스를 선택합니다. 인터페이스는 외부 인터페이스의 공용 주소를 사용하도록 나타냅니다.

Step 10

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙의 이름을 입력합니다.

Step 11

Save(저장)를 클릭합니다.

Step 12

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network any_network
subnet 0.0.0.0 0.0.0.0

이 절차에 의해 생성된 NAT 규칙

object network any_network
nat (any,outside) dynamic interface

공용 IP 주소의 특정 포트에서 내부 네트워크의 서버를 사용할 수 있도록 설정

활용 사례

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

사전 요구 사항

시작하기 전에 FTP, HTTP 및 SMTP 서버에 각각 하나씩 세 개의 개별 네트워크 개체를 생성합니다. 다음 절차를 위해 이러한 개체를 ftp-server-object, http-server-objectsmtp-server-object라고 합니다.

지침은 네트워크 개체 생성을 참조하십시오.

FTP 서버에 대한 NAT 수신 FTP 트래픽

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음ftp-server-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, ftp, ftp를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체
object network ftp-object
host 10.1.2.27
이 절차에 의해 생성된 NAT 규칙
object network ftp-object
nat (inside,outside) static interface service tcp ftp ftp

HTTP 서버에 대한 NAT 수신 HTTP 트래픽

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

Before you begin

시작하기 전에 http 서버에 대한 네트워크 개체를 생성합니다. 이 절차에서는개체를 http-object라고 합니다.

지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 http-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, http, http를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network http-object
host 10.1.2.28
이 절차에 의해 생성된 NAT 규칙
object network http-object
nat (inside,outside) static interface service tcp www www

SMTP 서버에 대한 NAT 수신 SMTP 트래픽

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

Before you begin

시작하기 전에 smtp 서버에 대한 네트워크 개체를 생성합니다. 이 절차에서는개체를 smtp-개체라고 합니다.

지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 smtp-server-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, smtp, smtp를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체
object network smtp-object
host 10.1.2.29
이 절차에 의해 생성된 NAT 규칙
object network smtp-object
nat (inside,outside) static interface service tcp smtp smtp

사설 IP 주소 범위를 공용 IP 주소 범위로 변환

활용 사례

수신 디바이스(트랜잭션의 다른 끝에 있는 디바이스)가 트래픽을 허용하도록 IP 주소를 특정 범위로 변환해야 하는 특정 디바이스 유형 또는 사용자 유형 그룹이 있는 경우 이 접근 방식을 사용합니다.

내부 주소 풀을 외부 주소 풀로 변환

Before you begin

변환하려는 사설 IP 주소 풀에 대한 네트워크 개체를 생성하고 해당 사설 IP 주소를 변환하려는 공용 주소 풀에 대한 네트워크 개체를 생성합니다.

ASA의 경우 "원래 주소" 풀(변환하려는 개인 IP 주소 풀)은 주소 범위가 있는 네트워크 개체, 서브넷을 정의하는 네트워크 개체 또는 풀의 모든 주소를 포함하는 네트워크 그룹일 수 있습니다. FTD의 경우 "원래 주소" 풀은 풀의 모든 주소를 포함하는 네트워크 그룹 또는 서브넷을 정의하는 네트워크 개체일 수 있습니다.


Note

ASA 의 경우 "변환된 주소" 풀을 정의하는 네트워크 그룹은 서브넷을 정의하는 네트워크 개체일 수 없습니다.

이러한 주소 풀을 생성할 때 지침을 보려면 ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집을 사용하고 하십시오.

다음 절차를 위해 개인 주소 풀의 이름을 inside_pool로 지정하고 공용 주소 풀의 이름을 outside_pool로 지정했습니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1 Type(유형)에서 Dynamic(동적)을 선택하고 Continue(계속)를 클릭합니다.

Step 8

섹션 2, 인터페이스에서 소스 인터페이스를 내부로, 대상 인터페이스를 외부로 설정합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서, 다음 작업을 수행합니다.

  • 원본 주소의 경우 Choose(선택)을 클릭한 다음 위의 전제 조건 섹션에서 만든 inside_pool 네트워크 개체(또는 네트워크 그룹)를 선택합니다.

  • 변환된 주소의 경우 Choose(선택)을 클릭한 다음 위의 전제 조건 섹션에서 만든 outside_pool 네트워크 개체(또는 네트워크 그룹)를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

이러한 절차의 결과로 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network outside_pool
    range 209.165.1.1 209.165.1.255
object network inside_pool
    range 10.1.1.1 10.1.1.255

이 절차에 의해 생성된 NAT 규칙

object network inside_pool
nat (inside,outside) dynamic outside_pool

외부 인터페이스를 통과할 때 IP 주소 범위가 변환되지 않도록 방지

활용 사례

이 Twice NAT 사용 사례를 사용하여 사이트 간 VPN을 활성화합니다.

전략

네트워크의 한 위치에 있는 IP 주소가 다른 위치에 변경되지 않고 도착하도록 IP 주소 풀을 자체적으로 변환하고 있습니다.

2회 NAT 규칙 생성

Before you begin

변환할 IP 주소 풀을 정의하는 네트워크 개체 또는 네트워크 그룹을 생성합니다. ASA의 경우 주소 범위는 IP 주소 범위를 사용하는 네트워크 개체, 서브넷을 정의하는 네트워크 개체 또는 범위의 모든 주소를 포함하는 네트워크 그룹 개체로 정의할 수 있습니다.

네트워크 개체 또는 네트워크 그룹을 생성할 때 지침을 보려면 ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집 을 사용합니다.

다음 절차를 위해 네트워크 개체 또는 네트워크 그룹인 Site-to-Site-PC-Pool을 호출합니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Twice NAT(2회 NAT)를 클릭합니다..

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, 패킷에서 다음과 같이 변경합니다.

  • 원래 주소 메뉴를 확장하고 Choose(선택)를 클릭한 다음 전제 조건 섹션에서 생성한 사이트 간 PC 풀 개체를 선택합니다.

  • 변환된 주소 메뉴를 펼치고 Choose(선택)를 클릭한 후 전제 조건 섹션에서 생성한 Site-to-Site-PC-Pool 개체를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

ASA의 경우 암호화 맵을 생성합니다. 암호화 맵 생성에 대한 자세한 내용은 CLI 책 3: Cisco ASA Series VPN CLI 구성 가이드를 참조하고 LAN-to-LAN IPsec VPN에 대한 장을 검토하십시오.

Step 14

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

이러한 절차의 결과로 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network Site-to-Site-PC-Pool
range 10.10.2.0 10.10.2.255

이 절차에 의해 생성된 NAT 규칙

nat (inside,outside) source static Site-to-Site-PC-Pool Site-to-Site-PC-Pool

API 토큰

개발자는 Security Cloud Control REST API 호출을 할 때 Security Cloud Control API 토큰을 사용합니다. 호출이 성공하려면 REST API 인증 헤더에 API 토큰을 삽입해야 합니다. API 토큰은 만료되지 않는 "장기" 액세스 토큰입니다. 그러나 이를 갱신하고 취소할 수 있습니다.

Security Cloud Control 내에서 API 토큰을 생성할 수 있습니다. 이러한 토큰은 생성 직후 일반 설정 페이지가 열려 있는 동안에만 표시됩니다. Security Cloud Control에서 다른 페이지를 열고 일반 설정페이지로 돌아가면, 토큰이 분명히 발급었지만 토큰이 더 이상 표시되지 않습니다.

개별 사용자는 특정 테넌트에 대한 자체 토큰을 생성할 수 있습니다. 사용자는 다른 사용자를 대신하여 토큰을 생성할 수 없습니다. 토큰은 계정-테넌트 쌍에 고유하며 다른 사용자-테넌트 조합에 사용할 수 없습니다.

API 토큰 형식 및 클레임

API 토큰은 JSON 웹 토큰(JWT)입니다. JWT 토큰 형식에 대해 자세히 알아보려면 JSON 웹 토큰 소개를 읽어보십시오.

Security Cloud Control API 토큰은 다음과 같은 클레임 집합을 제공합니다.

  • id - 사용자/디바이스 uid

  • parentId - 테넌트 uid

  • ver - 공개 키의 버전(초기 버전은 0, 예, cdo_jwt_sig_pub_key.0)

  • subscriptions - 보안 서비스 익스체인지 구독 (선택 사항)

  • client_id - "api-client"

  • jti - 토큰 ID

ASA 인증서 관리

디지털 인증서는 인증 디바이스 및 개별 사용자를 위한 디지털 ID를 제공합니다. 디지털 인증서에는 어떤 디바이스나 사용자를 식별하는 정보, 이를테면 이름, 일련 번호, 회사, 부서 또는 IP 주소가 들어 있습니다. 디지털 인증서는 사용자 또는 디바이스의 공개 키 사본 하나도 포함합니다. "디지털 인증서"에 대한 자세한 내용은 Cisco ASA 시리즈 일반 운영 ASDM 구성, X.Y 문서에서 "디지털 인증서" 장을 참조하십시오.

CA(인증 증명)는 인증서에 "서명"하여 그 진위를 확인함으로써 해당 디바이스 또는 사용자의 ID를 보장하는 신뢰받는 기관입니다. CA는 ID 인증서도 발급합니다.

  • ID 인증서 — ID 인증서는 특정 시스템 또는 호스트용 인증서입니다. 이러한 인증서는 OpenSSL 툴킷을 사용하여 직접 생성하거나 인증 기관에서 받을 수 있습니다. 자체 서명 인증서를 생성할 수도 있습니다. CA는 ID 인증서를 발급하는데, 이는 특정 시스템이나 호스트를 위한 인증서입니다.

  • 신뢰할 수 있는 CA 인증서 인증서 — 신뢰할 수 있는 CA 인증서는 다른 인증서에 서명하는 데 사용됩니다. 이러한 인증서는 CA 인증서에는 활성화되지만 ID 인증서에는 비활성화되는 기본 제약 조건 확장 및 CA 플래그와 관련된 내부 ID 인증서와 다릅니다. 신뢰할 수 있는 CA 인증서는 자체 서명되며 루트 인증서라고도 합니다.

원격 액세스 VPN은 VPN 연결을 안전하게 설정하기 위해 보안 게이트웨이 및 AnyConnect 클라이언트(종단) 인증에 디지털 인증서를 사용합니다. 자세한 내용은 Remote Access VPN 인증서 기반 인증을 참조하십시오.

인증서 설치 가이드

ASA에서의 인증서 설치에 대한 다음 가이드를 읽어보십시오.

  • 인증서는 단일 또는 여러 ASA 디바이스에 동시에 설치할 수 있습니다.

  • 한 번에 하나의 인증서만 설치할 수 있습니다.

  • 인증서는 라이브 ASA 디바이스에만 설치할 수 있으며 모달 디바이스에는 설치할 수 없습니다.

ASA 인증서 설치

디지털 인증서를 트러스트 포인트 개체로 업로드하고 Security Cloud Control에서 관리하는 ASA 디바이스에 설치해야 합니다.


참고

ASA 디바이스에 대역 외 변경 사항이 없으며 모든 단계적 변경 사항이 구축되었는지 확인합니다.

다음에는 Security Cloud Control에서 지원하는 디지털 인증서 및 형식이 나와 있습니다.

  • ID 인증서는 다음 방법을 사용하여 설치할 수 있습니다.

    • PKCS12 파일 가져오기.

    • 자체 서명 인증서

    • CSR(Certificate Signing Request) 가져오기.

  • 신뢰할 수 있는 CA 인증서는 PEM 또는 DER 형식을 사용하여 설치할 수 있습니다.

Security Cloud Control를 사용하여 ASA에 인증서를 설치하는 단계를 보여주는 스크린캐스트를 시청하십시오. 또한 설치된 인증서를 수정, 내보내기 및 삭제하는 단계를 보여줍니다.

지원되는 인증서 형식

  • PKCS12: PKCS#12, P12 또는 PFX 형식은 서버 인증서, 중간 인증서 및 개인 키를 하나의 암호화 가능한 파일에 저장하기 위한 이진 형식입니다. PFX 파일은 일반적으로 .pfx.p12와 같은 확장자를 갖습니다.

  • PEM: PEM(원래 "Privacy Enhanced Mail") 파일은 ASCII(또는 Base64) 인코딩 데이터를 포함하며 인증서 파일은 .pem, .crt, .cer 또는 .key 형식일 수 있습니다. 이는 Base64 인코딩 ASCII 파일이며 "-----BEGIN CERTIFICATE-----" 및 "-----END CERTIFICATE-----" 명령문을 포함합니다.

  • DER: DER(Distinguished Encoding Rules) 형식은 ASCII PEM 형식이 아닌 인증서의 이진 형식입니다. 파일 확장자가 .der인 경우도 있지만 파일 확장자가 .cer인 경우도 많습니다. 따라서 DER.cer 파일과 PEM.cer 파일의 차이점을 구분하는 유일한 방법은 텍스트 편집기에서 파일을 열고 BEGIN/END 문을 찾는 것입니다. PEM과 달리 DER 인코딩 파일은 -----BEGIN CERTIFICATE-----와 같은 일반 텍스트 명령문을 포함하지 않습니다.

트러스트 포인트 화면

ASA 디바이스를 Security Cloud Control에 온보딩한 후 Devices & Services(디바이스 및 서비스) 탭에서 ASA 디바이스를 선택하고 왼쪽의 Management(관리) 창에서 Trustpoints(트러스트 포인트)를 클릭합니다.

Trustpoints(트러스트 포인트) 탭에 디바이스에 이미 설치된 인증서가 표시됩니다.

  • "Installed(설치됨)" 상태는 해당 인증서가 디바이스에 성공적으로 설치되었음을 나타냅니다.

  • "Unknown(알 수 없음)" 상태는 해당 인증서에 어떤 정보도 포함되어 있지 않음을 나타냅니다. 해당 사이트를 제거하고 정확한 세부사항을 사용하여 다시 업로드 해야 합니다. Security Cloud Control은 알 수 없는 인증서를 신뢰할 수 있는 CA 인증서로 검색합니다.

  • "Installed(설치됨)"가 표시된 행을 클릭하여 오른쪽 창에서 인증서 세부 정보를 확인합니다. 선택한 인증서의 추가 세부 정보를 보려면 more(더 보기)를 클릭합니다.

  • 설치된 ID 인증서는 PKCS12 또는 PEM 형식으로 내보내고 다른 ASA 디바이스로 가져올 수 있습니다. ID 인증서 내보내기를 참조하십시오.

  • 설치된 인증서에서는 고급 설정만 수정할 수 있습니다.

    • 고급 설정을 수정하려면 Edit(편집)를 클릭합니다.

    • 변경한 후 Send(전송)를 클릭하여 업데이트된 인증서를 설치합니다.

PKCS12를 사용하여 ID 인증서 설치

PKCS12 형식으로 생성된 기존 트러스트 포인트 개체를 선택하여 ASA 디바이스에 설치할 수 있습니다. 설치 마법사에서 새 트러스트 포인트 개체를 생성하고 ASA 디바이스에 인증서를 설치할 수도 있습니다.

시작하기 전에

  • 인증서 설치 지침을 읽어보십시오.

  • ASA는 "Synced(동기화됨)" 및 "Online(온라인)" 상태여야 합니다.

프로시저

단계 1

탐색 모음에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

단일 ASA 디바이스에 ID 인증서를 설치하려면 다음을 수행합니다.

  1. Devices(디바이스) 탭을 클릭합니다.

  2. ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

  3. 오른쪽의 Management(관리) 창에서 Trustpoints(트러스트 포인트)를 클릭합니다.

  4. Install(설치)을 클릭합니다.

참고

 

여러 ASA 디바이스에 인증서를 설치할 수도 있습니다. 여러 ASA 디바이스를 선택하고 오른쪽의 Devices Action(디바이스 작업)에서 Install Certificate(인증서 설치)를 클릭합니다.

단계 3

Select Trustpoint Certificate to Install(설치할 트러스트 포인트 인증서 선택)에서 다음 중 하나를 클릭합니다.

  • Create(생성)를 클릭하여 새 트러스트 포인트 개체를 추가합니다.

    자세한 내용은 PKCS12를 사용하여 ID 인증서 개체 추가를 참조하십시오.

  • Choose(선택)를 클릭하여 PKCS 유형의 인증서 등록 개체를 선택합니다.

단계 4

Send(보내기)를 클릭합니다.

이렇게 하면 ASA 디바이스에 인증서가 설치됩니다.

참고

 

중간 CA가 설치된 PKCS12 인증서를 가져오는 경우, ASA에서는 아직 설치되지 않은 모든 중간 CA 인증서에 대해 트러스트 포인트 개체를 자동으로 생성하여 디바이스에 설치합니다. ID 인증서를 클릭하면 다음 예와 같이 오른쪽 창에 메시지가 표시됩니다.

자체 서명 등록을 사용하여 인증서 설치

자체 서명 인증서에 대해 생성된 기존 트러스트 포인트 개체를 선택하여 ASA 디바이스에 설치할 수 있습니다. 설치 마법사에서 새 트러스트 포인트 개체를 생성하고 ASA 디바이스에 인증서를 설치할 수도 있습니다.

시작하기 전에

  • 인증서 설치 지침을 읽어보십시오.

  • ASA는 "Synced(동기화됨)" 및 "Online(온라인)" 상태여야 합니다.

프로시저

단계 1

탐색 모음에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

단일 ASA 디바이스에 ID 인증서를 설치하려면 다음을 수행합니다.

  1. Devices(디바이스) 탭을 클릭합니다.

  2. ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

  3. 오른쪽의 Management(관리) 창에서 Trustpoints(트러스트 포인트)를 클릭합니다.

  4. Install(설치)을 클릭합니다.

참고

 

여러 ASA 디바이스에 서명된 인증서를 설치할 수도 있습니다. 여러 ASA 디바이스를 선택하고 오른쪽의 Devices Action(디바이스 작업)에서 Install Certificate(인증서 설치)를 클릭합니다.

단계 3

Select Trustpoint Certificate to Install(설치할 트러스트 포인트 인증서 선택)에서 다음 중 하나를 클릭합니다.

  • Create(생성)를 클릭하여 새 트러스트 포인트 개체를 추가합니다.

    자세한 내용은 PKCS12를 사용하여 ID 인증서 개체 추가를 참조하십시오.

  • Choose(선택)를 클릭하여 자체 서명 인증서 유형의 인증서 등록 개체를 선택합니다.

단계 4

Send(보내기)를 클릭합니다.

자체 서명된 등록 유형의 트러스트 포인트의 경우 발급자 공통 이름 상태는 항상 ASA 디바이스이며 관리되는 디바이스는 자체 CA로 작동하여 자체 ID를 생성하는 CA 인증서가 필요하지 않습니다.

인증서 서명 요청(CSR) 관리

먼저 CSR 요청을 생성한 다음 신뢰할 수 있는 CA(Certificate Authority)에서 이 요청에 서명을 받아야 합니다. 그런 다음 CA에서 발급한 서명된 ID 인증서를 ASA 디바이스에 설치할 수 있습니다.

  • 인증서 설치 지침을 읽어보십시오.

  • ASA는 "Synced(동기화됨)" 및 "Online(온라인)" 상태여야 합니다.

다음 다이어그램은 ASA에서 CSR을 생성하고 인증된 발급 인증서를 설치하는 워크플로우를 보여줍니다.

CSR 요청 생성

프로시저

단계 1

탐색 모음에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

단계 4

단일 ASA 디바이스에 ID 인증서를 설치하려면 다음을 수행합니다.

단계 5

Install(설치)을 클릭합니다.

단계 6

Select Trustpoint Certificate to Install(설치할 트러스트 포인트 인증서 선택)에서 다음 중 하나를 클릭합니다.

단계 7

Send(보내기)를 클릭합니다.

이렇게 하면 서명되지 않은 CSR(인증서 서명 요청)이 생성됩니다.

단계 8

복사 아이콘 copy_icon.png를 클릭하여 CSR 세부 정보를 복사합니다. CSR 요청을 ".csr" 파일 형식으로 다운로드할 수도 있습니다.

단계 9

OK(확인)를 클릭합니다.

단계 10

인증서에 서명하려면 인증서 서명 요청(CSR)을 인증 기관에 제출합니다.

인증 기관에서 발급한 서명된 ID 인증서 설치

CA가 서명된 인증서를 발급하면 ASA 디바이스에 인증서를 설치합니다.

프로시저

단계 1

Trustpoint(트러스트 포인트) 화면에서 Status(상태)가 "Awaiting Signed Certificate Install(서명된 인증서 설치 대기 중)"인 CSR 요청을 클릭하고 오른쪽의 Actions(작업) 창에서 Install Certified ID Certificate(인증된 ID 인증서 설치)를 클릭합니다.

단계 2

CA에서 수신한 서명된 인증서를 업로드합니다. 파일을 끌어다 놓거나 제공된 필드에 내용을 붙여넣을 수 있습니다. 트러스트 포인트 명령은 선택한 트러스트 포인트를 기반으로 생성됩니다.

단계 3

Send(보내기)를 클릭합니다.

이렇게 하면 서명된 ID 인증서가 ASA 디바이스에 설치됩니다. 인증서를 설치하면 디바이스에 변경 사항이 즉시 구축됩니다.

참고

 

여러 ASA 디바이스에 인증서를 설치할 수도 있습니다. 여러 ASA 디바이스를 선택하고 오른쪽의 Devices Action(디바이스 작업)에서 Install Certificate(인증서 설치)를 클릭합니다.

ASA에 신뢰할 수 있는 CA 인증서 설치

시작하기 전에

  • 인증서 설치 지침을 읽어보십시오.

  • ASA는 "Synced(동기화됨)" 및 "Online(온라인)" 상태여야 합니다.

프로시저

단계 1

탐색 메뉴에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

단계 4

단일 ASA 디바이스에 ID 인증서를 설치하려면 다음을 수행합니다.

  1. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 Trustpoints(트러스트 포인트)를 클릭합니다.

  2. Install(설치)을 클릭합니다.

참고

 

여러 ASA 디바이스에 인증서를 설치할 수도 있습니다. 여러 ASA 디바이스를 선택하고 오른쪽의 Devices Action(디바이스 작업)에서 Install Certificate(인증서 설치)를 클릭합니다.

단계 5

Select Trustpoint Certificate to Install(설치할 트러스트 포인트 인증서 선택)에서 다음 중 하나를 클릭합니다.

  • Create(생성)를 클릭하여 새 트러스트 포인트 개체를 추가합니다.

    자세한 내용은 신뢰할 수 있는 CA 인증서 개체 추가을 참조하십시오.

  • 신뢰할 수 있는 인증 기관 개체 선태을 Choose(선택)합니다.

단계 6

Send(보내기)를 클릭합니다.

그러면 ASA 디바이스에 신뢰할 수 있는 CA 파일이 설치됩니다.

ID 인증서 내보내기

신뢰 지점과 연결된 키 쌍 및 발급된 인증서를 PKCS12 또는 PEM 형식으로 내보내고 가져올 수 있습니다. 이 형식은 신뢰 지점 구성을 다른 ASA에서 수동으로 복제하는 데 유용합니다.

프로시저

단계 1

탐색 메뉴에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA를 클릭합니다.

단계 4

ASA 디바이스를 선택하고 오른쪽의 Management(관리)에서 Trustpoints(트러스트 포인트)를 클릭합니다.

단계 5

ID 인증서를 클릭하여 인증서 구성을 내보냅니다. 또는 검색 필드에 이름을 입력하여 인증서를 검색할 수 있습니다.

단계 6

오른쪽의 Actions(작업) 창에서 Export Certificate(인증서 내보내기)를 클릭합니다.

단계 7

PKCS12 Format(PKCS12 형식) 또는 PEM Format(PEM 형식)을 클릭하여 인증서 형식을 선택합니다.

단계 8

내보낼 PKCS12 파일을 암호화하는 데 사용한 암호화 패스프레이즈를 입력합니다.

단계 9

암호화 패스프레이즈를 확인합니다.

단계 10

Export(내보내기)를 클릭하여 인증서 구성을 내보냅니다.

정보 대화 상자가 나타나 인증서 구성 파일을 지정된 위치에 성공적으로 내보냈음을 알립니다.

다음에 수행할 작업

다운로드한 ID 인증서를 보려면 인증서를 다운로드한 디렉터리에서 다음 명령을 실행합니다.
  1. base64 형식 의 인증서를 디코딩하려면 다음을 수행합니다.
    openssl base64 -d -in <file_name>.p12 -out <file_name>_b64.p12
  2. 인증서를 보려면 다음을 수행합니다. 
    openssl pkcs12 -in <file_name>_b64.p12 -passin pass:<password>

설치된 인증서 편집

설치된 인증서의 고급 옵션만 수정할 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA 탭을 클릭합니다.

단계 4

ASA 디바이스를 선택하고 오른쪽의 Management(관리)에서 Trustpoints(트러스트 포인트)를 클릭합니다.

단계 5

수정할 인증서를 클릭하고 오른쪽의 Actions(작업) 창에서 Edit(편집)를 클릭합니다.

단계 6

필수 매개변수를 수정하고 Save(저장)를 클릭합니다.

ASA에서 기존 인증서 삭제

인증서를 하나씩 삭제할 수 있습니다. 삭제한 인증서 구성은 복원할 수 없습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

ASA 디바이스를 선택하고 오른쪽의 Management(관리)에서 Trustpoints(트러스트 포인트)를 클릭합니다.

단계 3

삭제할 인증서를 클릭하고 오른쪽의 Actions(작업) 창에서 Remove(제거)를 클릭합니다.

단계 4

OK(확인)를 클릭하여 선택한 인증서를 제거합니다.

ASA 파일 관리

Security Cloud Control는 ASA 디바이스의 플래시(disk0) 공간에 있는 파일 보기, 업로드 또는 삭제와 같은 기본 파일 관리 작업을 수행하기 위한 파일 관리 툴을 제공합니다.


Note

disk1에 있는 파일은 관리할 수 없습니다.

File Management(파일 관리) 화면에는 디바이스의 플래시(disk0)에 있는 모든 파일이 나열됩니다. 파일 업로드에 성공하면 새로 고침 아이콘을 클릭하여 파일을 볼 수 있습니다. 기본적으로 이 화면은 10분마다 자동으로 새로 고쳐집니다. Disk Space(디스크 공간) 필드에는 disk0 디렉터리의 디스크 공간이 표시됩니다.

AnyConnect 이미지를 단일 또는 여러 ASA 디바이스에 업로드할 수 있습니다. 업로드에 성공하면 AnyConnect 이미지가 선택한 ASA 디바이스의 RA VPN 구성과 연결됩니다. 이렇게 하면 새로 릴리스된 AnyConnect 패키지를 여러 ASA 디바이스에 동시에 업로드할 수 있습니다.

플래시 시스템에 파일 업로드

Security Cloud Control는 원격 서버에서의 URL 기반 파일 업로드만 지원합니다. 파일 업로드에 지원되는 프로토콜은 HTTP, HTTPS, TFTP, FTP, SMB 또는 SCP입니다. AnyConnect 소프트웨어 이미지, DAP.xml, data.xml, 호스트 스캔 이미지 파일 등의 파일을 단일 또는 여러 ASA 디바이스에 업로드할 수 있습니다.


Note

원격 서버의 URL 경로가 유효하지 않거나 발생할 수 있는 문제로 인해 Security Cloud Control는 선택한 ASA 디바이스에 파일을 업로드하지 않습니다. 자세한 내용은 디바이스 워크플로우로 이동하여 알아보십시오.

디바이스가 고가용성으로 구성되어 있고 Security Cloud Control가 먼저 스탠바이 디바이스에 파일을 업로드하고 업로드에 성공한 후에만 파일이 액티브 디바이스에 업로드된다고 가정합니다. 파일 제거 프로세스 중에도 동일한 동작이 적용됩니다.

파일 업로드에 지원되는 프로토콜의 syntax(명령문):

프로토콜

구문

HTTP http://[[path/ ]filename] http://www.geonames.org/data-sources.html
HTTPS https://[[path/ ]filename] https://docs.aws.amazon.com/amazov/tagging.html
TFTP tftp://[[path/ ]filename] tftp://10.10.16.6/ftd/components.html
FTP ftp://[[user[:password]@]server[:port]/[path/ ]filename] ftp://'dlpuser:rNrKYTX9g7z3RgJRmxWuGHbeu'@ftp.dlptest.com/image0-000.jpg
SMB smb://[[path/ ]filename] smb://10.10.32.145//sambashare/hello.txt
SCP scp://[[user[:password]@]server[/path]/ filename] scp://root:cisco123@10.10.16.6//root/events_send.py

시작하기 전에

  • ASA 디바이스에서 원격 서버에 액세스할 수 있는지 확인합니다.

  • 파일이 이미 원격 서버에 업로드되었는지 확인합니다.

  • ASA 디바이스에서 해당 서버로 연결되는 네트워크 경로가 있는지 확인합니다.

  • FQDN이 URL에 사용되는 경우 DNS가 구성되어 있는지 확인합니다.

  • 원격 서버의 URL은 인증 프롬프트가 표시되지 않는 직접 링크여야 합니다.

  • 원격 서버 IP 주소가 NAT된 경우 원격 서버 위치의 NAT된 공용 IP 주소를 제공해야 합니다.


Note

페일오버에서 피어로 구성된 ASA에 파일을 업로드하는 경우 Security Cloud Control는 페일오버 쌍의 다른 피어에 대한 새 파일을 승인하지 않으며 디바이스 상태가 Not Synced(동기화되지 않음)로 변경됩니다. Security Cloud Control가 두 디바이스에서 파일을 인식하도록 하려면 디바이스 모두에 변경 사항을 수동으로 구축해야 합니다.

단일 ASA 디바이스에 파일 업로드

이 절차를 사용하여 파일을 단일 ASA 디바이스에 업로드합니다.

Procedure

Step 1

탐색 모음에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

Step 4

오른쪽의 Management(관리) 창에서 File Management(파일 관리)를 클릭합니다. 사용 가능한 디스크 공간 및 ASA 디바이스에 있는 파일을 볼 수 있습니다.

Step 5

오른쪽의 Upload(업로드) 버튼을 클릭합니다.

Step 6

URL 링크에서 파일이 사전 업로드된 서버의 경로를 지정합니다. Destination Path(대상 경로) 필드에는 disk0 디렉터리에 업로드되는 파일의 이름이 표시됩니다. disk0 내의 특정 디렉터리에 파일을 업로드하려면 이 필드에 파일 이름을 지정합니다. 예를 들어 dap.xml 파일을 "DAPFiles" 디렉터리에 업로드하려면 필드에 " disk0:/ DAPFiles/dap.xml"을 지정합니다.

Note

 

Security Cloud Control ASA CLI 인터페이스에서 dir 명령을 실행하여 disk0 폴더에 있는 디렉터리를 볼 수 있습니다.

Step 7

지정된 서버 경로가 AnyConnect 파일을 가리키는 경우 Associate file with RA VPN Configuration(RA VPN 구성과 파일 연결) 확인란이 활성화됩니다. 참고: 이 확인란은 올바른 명명 규칙을 따르는 AnyConnect 파일 이름(예: 'anyconnect-win-xxx.pkg', 'anyconnect-linux-xxx.pkg' 또는 'anyconnect-mac-xxx.pkg' 형식)에 대해서만 활성화됩니다. 이 확인란을 선택하면 Security Cloud Control는 업로드에 성공한 후 AnyConnect 파일을 선택한 ASA 디바이스의 원격 액세스 VPN 구성에 연결합니다.

Step 8

Upload(업로드)를 클릭합니다. Security Cloud Control는 파일을 디바이스에 업로드합니다.

Step 9

5단계에서 AnyConnect 패키지를 RA VPN 구성과 연결하도록 선택한 경우 새 RA VPN 구성을 ASA 디바이스에 구축합니다.

What to do next

디바이스에 구성 변경 사항을 구축할 필요가 없습니다.

여러 ASA 디바이스에 파일 업로드

이 절차를 사용하여 동시에 여러 ASA 디바이스에 파일을 업로드합니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

대량 업로드를 수행하려면 ASA 탭을 클릭하고 여러 ASA 디바이스를 선택합니다.

Step 4

오른쪽의 Device Actions(디바이스 작업)에서 Upload File(파일 업로드)를 클릭합니다. 참고: ASA 디바이스가 온라인이어야 Upload File(파일 업로드) 링크가 나타납니다.

Step 5

URL 링크에서 파일이 사전 업로드된 서버의 경로를 지정합니다. Destination Path(대상 경로) 필드에는 disk0 디렉터리에 업로드되는 파일의 이름이 표시됩니다. disk0 내의 특정 디렉터리에 파일을 업로드하려면 이 필드에 파일 이름을 지정합니다. 예를 들어 dap.xml 파일을 "DAPFiles" 디렉터리에 업로드하려면 필드에 " disk0:/ DAPFiles/dap.xml"을 지정합니다.

Note

 

Security Cloud Control ASA CLI 인터페이스에서 dir 명령을 실행하여 disk0 폴더에 있는 디렉터리를 볼 수 있습니다.

Step 6

지정된 서버 경로가 AnyConnect 파일을 가리키는 경우 Associate file with RA VPN Configuration(RA VPN 구성과 파일 연결) 확인란이 활성화됩니다.

Note

 

이 확인란은 올바른 명명 규칙을 따르는 AnyConnect 파일 이름(예: 'anyconnect-win-xxx.pkg', 'anyconnect-linux-xxx.pkg' 또는 'anyconnect-mac-xxx.pkg' 형식)에 대해서만 활성화됩니다. 이 확인란을 선택하면 Security Cloud Control는 업로드에 성공한 후 AnyConnect 파일을 선택한 ASA 디바이스의 원격 액세스 VPN 구성에 연결합니다.

Step 7

Upload(업로드)를 클릭합니다.

Step 8

4단계에서 AnyConnect 패키지를 RA VPN 구성과 연결하도록 선택한 경우, 새 RA VPN 구성을 ASA 디바이스에 구축합니다.

What to do next

개별 디바이스에서 파일을 업로드하는 진행 상황을 볼 수 있습니다. ASA 디바이스를 선택하고 오른쪽의 Management(관리) 창에서 File Management(파일 관리)를 클릭합니다. 파일 업로드가 진행 중인 경우 작업이 완료될 때까지 기다립니다.

디바이스에 구성 변경 사항을 구축할 필요가 없습니다.

ASA에서 파일 제거

RA VPN 구성과 연결된 AnyConnect 파일은 제거할 수 없습니다. 해당 RA VPN 구성에서 AnyConnect 파일의 연결을 해제한 다음 파일 관리 툴에서 파일을 제거해야 합니다.


Note

페일오버에서 피어로 구성된 ASA에 파일을 업로드하는 경우 Security Cloud Control는 페일오버 쌍의 다른 피어에 대한 새 파일을 승인하지 않으며 디바이스 상태가 Not Synced(동기화되지 않음)로 변경됩니다. Security Cloud Control가 두 디바이스에서 파일을 인식하도록 하려면 디바이스 모두에 변경 사항을 수동으로 구축해야 합니다.

제거 작업은 선택한 파일을 플래시 메모리에서 영구적으로 삭제합니다. 파일을 삭제할 때 확인을 요청하는 메시지가 나타납니다. 선택한 ASA 디바이스에서 파일을 제거하려면 다음 절차를 수행합니다.

Procedure

Step 1

탐색 모음에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭합니다.

Step 3

ASA 탭을 클릭하고 ASA 디바이스를 선택합니다.

Step 4

오른쪽의 Management(관리) 창에서 File Management(파일 관리)를 클릭합니다.

Step 5

제거할 파일을 선택하고 오른쪽의 Actions(작업) 아래에서 Remove(제거)를 클릭합니다. 최대 25개의 파일을 선택할 수 있습니다. Security Cloud Control가 일부 파일을 제거하지 못한 경우 디바이스 워크플로우를 확인하여 제거된 파일과 보존된 파일을 확인할 수 있습니다.

Step 6

AnyConnect 패키지를 제거하도록 선택한 경우 ASA 디바이스에 새 RA VPN 구성을 구축합니다.

기존 고가용성 구성으로 ASA 관리

액티브-액티브 페일오버 모드에서 ASA에 적용된 구성 변경 사항

Security Cloud Control가 ASA의 실행 구성을 Security Cloud Control에 준비된 구성으로 변경하거나 Security Cloud Control의 구성을 ASA에 저장된 구성으로 변경할 때 구성의 해당 측면을 Security Cloud Control GUI로 관리할 수 있으면 구성 파일의 관련 행만 변경하려고 시도합니다. Security Cloud Control GUI를 사용하여 원하는 구성을 변경할 수 없는 경우, Security Cloud Control는 변경을 위해 전체 구성 파일을 덮어쓰려고 시도합니다.

다음은 두 가지 예입니다.

  • Security Cloud Control GUI를 사용하여 네트워크 개체를 생성하거나 변경할 수 있습니다. Security Cloud Control가 해당 변경 사항을 ASA의 구성에 구축해야 하는 경우, 변경이 발생할 때 ASA에서 실행 중인 구성 파일의 관련 줄을 덮어씁니다.

  • Security Cloud Control GUI를 사용하여 새 ASA 사용자를 생성할 수 없습니다. ASA의 ASDM 또는 CLI를 사용하여 새 사용자를 ASA에 추가한 경우, 해당 대역 외 변경 사항이 수락되고 Security Cloud Control가 저장된 구성 파일을 업데이트하면 Security Cloud ControlSecurity Cloud Control에 준비된 ASA의 전체 구성 파일을 덮어쓰려고 시도합니다.

ASA가 액티브-액티브 페일오버 모드에서 구성된 경우 이러한 규칙은 준수되지 않습니다. Security Cloud Control가 액티브-액티브 페일오버 모드에서 구성된 ASA를 관리하는 경우 Security Cloud Control가 항상 자신의 모든 구성 변경 사항을 ASA로 구축하거나 ASA의 모든 구성 변경 사항을 자신으로 읽을 수는 없습니다. 다음은 두 가지 경우입니다.

  • Security Cloud Control에서 수행한 ASA 구성 파일의 변경 사항은 Security Cloud ControlSecurity Cloud Control GUI에서 지원하지 않는 경우 ASA에 구축할 수 없습니다. 또한 Security Cloud Control가 지원하지 않는 구성 파일에 대한 변경 사항과 Security Cloud Control가 지원하는 구성 파일에 대한 변경 사항의 조합은 ASA에 구축할 수 없습니다. 두 경우 모두 "Security Cloud Control는 현재 페일오버 모드의 디바이스에 대한 전체 구성 교체를 지원하지 않습니다. Cancel(취소)을 클릭하고 디바이스에 변경 사항을 수동으로 적용하십시오." Security Cloud Control 인터페이스의 메시지와 함께 Replace Configuration(구성 교체) 버튼이 비활성화되어 있습니다.

  • 액티브-액티브 페일오버 모드에서 구성된 ASA에 대한 대역 외 변경 사항은 Security Cloud Control에 의해 거부되지 않습니다. ASA의 실행 중인 구성을 대역 외 변경을 수행하는 경우, ASA는 Security Devices(보안 디바이스) 페이지에서 "Conflict Detected(충돌 탐지됨)"로 표시됩니다. 충돌을 검토하고 충돌을 거부하려고 하면 Security Cloud Control가 해당 작업을 차단합니다. "Security Cloud Control는 이 디바이스에 대한 대역 외 변경 거부를 지원하지 않습니다. 이 디바이스는 지원되지 않는 소프트웨어 버전을 실행하거나 액티브/액티브 페일오버 쌍의 멤버입니다. Continue(계속)를 클릭하여 대역 외 변경 사항을 수락하십시오."


Caution

ASA에서 대역 외 변경 사항을 수락해야 하는 경우 Security Cloud Control에 준비되었지만 아직 ASA에 구축되지 않은 모든 구성 변경 사항이 덮어쓰기되고 손실됩니다.

Security Cloud Control는 페일오버 모드에서 ASA에 대한 구성 변경 사항이 Security Cloud Control GUI에서 지원되는 경우 해당 구성 변경 사항을 지원합니다.

ASA 구성 파일 관리

ASA는 구성을 단일 구성 파일에 저장합니다. Security Cloud Control에서 디바이스 구성 파일을 보고 디바이스에 따라 다양한 작업을 수행할 수 있습니다.

디바이스의 구성 파일 보기

ASA는 전체 구성을 단일 구성 파일에 저장합니다. Security Cloud Control을 사용하여 디바이스 구성 파일을 볼 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

단계 3

ASA 디바이스 유형 탭을 클릭합니다.

단계 4

보려는 구성이 있는 디바이스 또는 모델을 선택합니다.

단계 5

오른쪽의 관리 창에서 Configuration(구성)를 클릭합니다.

전체 구성 파일이 표시됩니다.

ASA에서 DNS 구성

이 절차를 사용하여 각 ASA에서 도메인 이름 서버(DNS)를 구성합니다.

사전 요구 사항

  • ASA는 인터넷에 연결되어야 합니다.

  • 시작하기 전에 다음 정보를 수집합니다.

    • DNS 서버에 연결할 수 있는 ASA 인터페이스의 이름(예: 내부, 외부 또는 dmz).

    • 조직에서 사용하는 DNS 서버의 IP 주소 자체 DNS 서버를 유지 관리하지 않는 경우 Cisco Umbrella를 사용할 수 있습니다. Cisco Umbrella의 IP 주소는 208.67.220.220입니다.

절차

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭합니다.

단계 3

ASA 탭을 클릭하고 DNS를 구성할 모든 ASA를 선택합니다.

단계 4

오른쪽의 Actions(작업) 창에서 Command Line Interface(명령줄 인터페이스)를 선택합니다.

단계 5

CLI 매크로 즐겨찾기 별을 클릭합니다.

단계 6

Configure DNS Macro(DNS 매크로 구성)를 선택합니다.

단계 7

>_View Parameters(매개변수 보기)를 선택하고 Parameters(매개변수) 열에서 다음 매개변수의 값을 입력합니다.

  • IF_Name - DNS 서버에 연결할 수 있는 ASA 인터페이스의 이름입니다.

  • IP_ADDR - 조직에서 사용하는 DNS 서버의 IP 주소

단계 8

Send to devices(디바이스로 전송)를 클릭합니다.

ASA 명령줄 인터페이스

Security Cloud Control 및 기타 디바이스 유형을 관리하거나 문제 해결하기 위해 CLI(명령줄 인터페이스)를 사용할 수 있습니다.

자세한 내용은 Security Cloud Control Firewall Management 구성 가이드를 참조하십시오.

Security Cloud Control CLI를 사용하여 ASA 구성

Security Cloud Control에서 제공하는 CLI 인터페이스에서 CLI 명령을 실행하여 ASA 디바이스를 구성할 수 있습니다. ASA 명령줄 인터페이스을 참조하십시오.

새 로깅 서버 추가

시스템 로깅은 디바이스의 메시지를 syslog 데몬을 실행 중인 서버로 수집하는 방식입니다. 중앙 syslog 서버에 로깅하면 로그와 경고를 종합하는 데 도움이 됩니다.

자세한 내용은 실행 중인 ASA 버전의 CLI 책 1: Cisco ASA 시리즈 일반 작업 CLI 구성 가이드에서 '로깅' 장의 '모니터링' 섹션을 참조하십시오.

DNS 서버 구성

ASA에서 호스트 이름의 IP 주소를 확인할 수 있도록 DNS 서버를 구성해야 합니다. 또한 액세스 규칙에서 FQDN(Fully Qualified Domain Name) 네트워크 개체를 사용하려면 DNS 서버를 구성해야 합니다.

자세한 내용은 실행 중인 ASA 버전의 CLI 책 1: Cisco ASA 시리즈 일반 작업 CLI 구성 가이드에서 'DNS 서버 구성' 섹션의 '기본 설정' 장을 참조하십시오.

정적 및 기본 경로 추가

비연결 호스트 또는 네트워크에 트래픽을 라우팅하려면 정적 또는 동적 라우팅을 사용하여 해당 호스트 또는 네트워크로 가는 경로를 정의해야 합니다.

자세한 내용은 CLI 책 1: Cisco ASA 시리즈 일반 작업 CLI 구성 가이드의 '정적 및 기본 경로' 장을 참조하십시오.

인터페이스 구성

CLI 명령을 사용하여 관리 및 데이터 인터페이스를 구성할 수 있습니다. 자세한 내용은 CLI 책 1: Cisco ASA 시리즈 일반 작업 CLI 구성 가이드의 '기본 인터페이스 구성' 장을 참조하십시오.

ASA 대량 CLI 사용 사례

ASA 디바이스에 Security Cloud Control의 대량 CLI 기능을 사용할 때 발생할 수 있는 워크플로우는 다음과 같습니다.

ASA의 실행 중인 구성에 있는 모든 사용자를 표시한 다음 사용자 중 한 명 삭제

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

사용자를 삭제하려는 디바이스의 디바이스 목록을 검색 및 필터링하고 선택합니다.

Note

 

선택한 디바이스가 동기화되었는지 확인합니다. 디바이스가 동기화되지 않은 경우 show, ping, traceroute, vpn-sessiondb, changeto, dir, copywrite 명령만 허용됩니다.

Step 5

세부 정보 창에서 >_Command Line Interface(명령줄 인터페이스)를 클릭합니다. 내 목록 창에서 선택한 디바이스가 Security Cloud Control에 나열됩니다. 더 적은 수의 디바이스에 명령을 보내기로 결정한 경우 해당 목록에서 디바이스를 선택 취소하십시오.

Step 6

명령 창에서 show run | grep user를 입력하고 Send(보내기)를 클릭합니다. 사용자 문자열을 포함하는 실행 중인 구성 파일의 모든 줄이 응답 창에 표시됩니다. 실행 탭이 열리고 명령이 실행된 디바이스가 표시됩니다.

Step 7

By Response(응답별) 탭을 클릭하고 응답을 검토하여 삭제할 사용자가 있는 디바이스를 결정합니다.

Step 8

내 목록 탭을 클릭하고 사용자를 삭제할 디바이스 목록을 선택합니다.

Step 9

명령 창에서 no 형식의 user 명령을 입력하여 user2를 삭제한 다음 Send(보내기)를 클릭합니다. 이 예에서는 user2를 삭제합니다.

no user user2 password reallyhardpassword privilege 10

Step 10

사용자 이름을 검색하는 데 사용한 show run | grep user 명령 인스턴스에 대한 히스토리 패널을 찾습니다. 해당 명령을 선택하고 실행 목록에서 디바이스 목록을 확인한 다음 Send(보내기)를 선택합니다. 지정한 디바이스에서 사용자 이름이 삭제된 것을 볼 수 있습니다.

Step 11

실행 중인 구성에서 올바른 사용자를 삭제했고 올바른 사용자가 실행 중인 구성에 남아 있는 것에 만족하는 경우 다음을 수행합니다.

  1. 히스토리 창에서 no user user2 password reallyhardpassword privilege 10 명령을 선택합니다.

  2. By Device(디바이스 별) 탭을 클릭하고 이 디바이스에서 명령 실행를 클릭합니다.

  3. 명령 창에서 Clear(지우기)를 클릭하여 명령 창을 지웁니다.

  4. 구축 메모리 명령을 입력하고 Send(보내기)를 클릭합니다.

선택한 ASA에서 모든 SNMP 구성 찾기

이 절차는 ASA의 실행 중인 구성에 있는 모든 SNMP 구성 항목을 보여줍니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

실행 중인 구성에서 SNMP 구성을 분석하려는 디바이스를 필터링 및 검색하고 선택합니다.

Note

 

선택한 디바이스가 동기화되었는지 확인합니다. 디바이스가 동기화되지 않은 경우 show, ping, traceroute, vpn-sessiondb, changeto, dir 명령만 허용됩니다.

Step 5

세부 정보 창에서 Command Line Interface(명령줄 인터페이스)를 클릭합니다. 디바이스는 내 목록 창에서 선택한 디바이스를 나열합니다. 더 적은 수의 디바이스에 명령을 보내기로 결정한 경우 해당 목록에서 디바이스를 선택 취소하십시오.

Step 6

명령 창에서 show run | grep snmp를 입력하고 Send(보내기)를 클릭합니다. snmp 문자열을 포함하는 실행 중인 구성 파일의 모든 줄이 응답 창에 표시됩니다. 실행 탭이 열리고 명령이 실행된 디바이스가 표시됩니다.

Step 7

응답 창에서 명령 출력을 검토합니다.

ASA 명령줄 인터페이스 설명서

Security Cloud Control는 ASA 명령줄 인터페이스를 완벽하게 지원합니다. Cisco에서는 사용자가 단일 디바이스 및 여러 디바이스에 ASA 명령을 동시에 전송할 수 있도록 Security Cloud Control 내에서 터미널과 유사한 인터페이스를 제공합니다. ASA 명령줄 인터페이스 설명서는 광범위합니다. Security Cloud Control 설명서의 일부를 다시 작성하는 대신 Cisco.com의 ASA CLI 설명서에 대한 포인터를 제공합니다.

ASA 명령줄 인터페이스 구성 가이드

ASA 버전 9.1부터는 ASA CLI 구성 가이드가 3개의 별도 책으로 구성됩니다.

  • CLI Book 1: Cisco ASA Series 일반 운영 CLI 환경 설정 가이드

  • CLI Book 2: Cisco ASA Series Firewall CLI 환경 설정 가이드

  • CLI Book 3: Cisco ASA Series VPN CLI 구성 가이드

Cisco.com에서 Support(지원) > Products by Category(제품) > Security(보안) > Firewalls(방화벽) > ASA 5500(구성) > Configuration Guides(구성 가이드)로 이동하여 ASA CLI 구성 가이드에 도달할 수 있습니다.

몇 가지 특정 ASA 명령줄 인터페이스 구성 가이드 섹션

show 및 more 명령 출력 필터링 정규식을 사용하여 show 명령 출력을 필터링하는 자세한 내용은 CLI 가이드 1: Cisco ASA 시리즈 일반 운영 CLI 구성 가이드의 show 및 more 명령 출력 필터링에서 확인할 수 있습니다.

ASA 명령 참조

ASA 명령 참조 가이드에는 모든 ASA 명령 및 해당 옵션이 알파벳순으로 나열되어 있습니다. ASA 명령 참조는 버전과 관련이 없습니다. 다음의 네 가지 책으로 게시됩니다.

  • Cisco ASA Series 명령 참조, A - H 명령

  • Cisco ASA Series 명령 참조, I - R 명령

  • Cisco ASA Series 명령 참조, S 명령

  • Cisco ASA Series 명령 참조, T - Z 명령 및 ASASM에 대한 IOS 명령

Cisco.com에서 Support(지원) > Products by Category(범주별 제품) > Security(보안) > Firewalls(방화벽) > ASA 5500(ASA 5500) > Reference Guides(참조 가이드) > Command References(명령 참조) > ASA Command References(ASA 명령 참조)로 이동하여 ASA 명령 참조 가이드로 이동할 수 있습니다.

디바이스 구성 관리

ASA는 구성을 단일 구성 파일에 저장합니다. Security Cloud Control에서 구성 파일을 보고 다양한 작업을 수행할 수 있습니다.

Security Cloud Control를 사용하여 ASA 구성 비교

이 절차를 사용하여 두 ASA의 구성을 비교합니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 ASA 디바이스를 찾거나 Templates(템플릿)탭을 클릭하여 ASA 모델 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

비교하려는 디바이스에 대한 디바이스 목록을 필터링합니다.

Step 5

두 개의 ASA를 선택합니다. 상태는 중요하지 않습니다. Security Cloud Control에 저장된 ASA의 구성을 비교하고 있습니다.

Step 6

오른쪽의 디바이스 작업 창에서 Compare(비교)를 클릭합니다.

Step 7

구성 비교 대화 상자에서 Next(다음)Previous(이전)를 클릭하여 구성 파일에서 파란색으로 강조 표시된 차이점을 건너뜁니다.

ASA 구성 복원

ASA의 구성을 변경하고, 변경 사항을 되돌리고자 하는 경우ASA의 과거 구성을 복원할 수 있습니다. 이는 예기치 않거나 원치 않는 결과를 초래한 구성 변경 사항을 편리하게 제거할 수 있는 방법입니다.

ASA 구성 복원 정보

구성을 복원하기 전에 다음 참고 사항을 검토합니다.

  • Security Cloud Control는 복원하도록 선택한 구성을 ASA에 구축된 마지막으로 알려진 구성과 비교하지만, 복원하도록 선택한 구성을 준비되었지만 ASA에 구축되지 않은 구성과 비교하지 않습니다. ASA에 구축되지 않은 변경 사항이 있고 과거 구성을 복원하는 경우, 복원 프로세스는 구축되지 않은 변경 사항을 덮어쓰게 되며 해당 변경 사항은 손실됩니다.

  • 과거 구성을 복원하기 전에, ASA이 동기화됨 또는 동기화되지 않음 상태일 수 있지만 디바이스가 충돌 감지됨 상태인 경우 과거 구성을 복원하기 전에 충돌을 해결해야 합니다.

  • 과거 구성을 복원하면 구축된 모든 중간 구성 변경 사항을 덮어씁니다. 예를 들어 아래 목록에서 2023년 1월 31일의 구성을 복원하면 2023년 2월 15일에 이루어진 구성 변경 사항을 덮어씁니다.

  • 다음 및 이전 버튼을 클릭하면 구성 파일을 통해 이동하고 구성 파일 변경 사항을 강조 표시합니다.

  • 원래 구성 변경에 변경 요청 레이블을 적용한 경우 해당 레이블이 구성 복원 목록에 나타납니다.

Figure 1. ASA 복원 구성 화면

ASA 복원 구성 화면
구성 변경 사항은 얼마 동안 유지됩니까?

1년 이하의 ASA 구성을 복원할 수 있습니다. Security Cloud Control는 변경 로그에 기록된 구성 변경 사항을 복원합니다. 변경 로그는 ASA에 구성 변경 사항을 쓰거나 읽을 때마다 변경 사항을 기록합니다. Security Cloud Control는 1년치 변경 로그를 저장하며, 이전 연도 내에 수행된 백업 수에는 제한이 없습니다.

ASA 구성 복원
Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

ASA 탭을 클릭합니다.

Step 3

복원하려는 ASA 구성을 선택합니다.

Step 4

Management(관리) 창에서, Restore(복원)를 클릭합니다.

Step 5

Restore(복원) 페이지에서 되돌리려는 구성을 선택합니다.

예를 들어 위 그림에서 2023년 1월 31일의 구성이 선택되었습니다.

Step 6

"Security Cloud Control에서 확인한 최신 실행 구성"과 "<날짜>에서 선택한 구성"을 비교하여 <날짜>에서 선택한 구성 창에 표시된 구성을 복원할 것인지 확인합니다. 이전 및 다음을 사용하여 모든 변경 사항을 비교합니다.

Step 7

Restore(복원)을 클릭하면 Security Cloud Control에서 구성이 준비됩니다. Security Devices(보안 디바이스) 페이지에서 디바이스의 구성 상태가 이제 "동기화되지 않음"임을 알 수 있습니다.

Step 8

우측 창에서 Deploy Changes...(변경 사항 구축...)를 클릭하여 변경 사항을 구축하고 ASA를 동기화합니다.

문제 해결

잃어버렸지만 유지하고 싶었던 변경 사항을 복원하려면 어떻게 해야 합니까?

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

필요한 디바이스를 선택합니다.

Step 5

오른쪽 창에서 Change Log(로그 변경)를 클릭합니다.

Step 6

변경 로그에서 변경 사항을 검토합니다. 해당 레코드에서 손실된 구성을 재구성할 수 있습니다.

디바이스의 구성 파일 보기

ASA는 전체 구성을 단일 구성 파일에 저장합니다. Security Cloud Control을 사용하여 디바이스 구성 파일을 볼 수 있습니다.

프로시저

단계 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

단계 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

단계 3

ASA 디바이스 유형 탭을 클릭합니다.

단계 4

보려는 구성이 있는 디바이스 또는 모델을 선택합니다.

단계 5

오른쪽의 관리 창에서 Configuration(구성)를 클릭합니다.

전체 구성 파일이 표시됩니다.

전체 디바이스 구성 파일 편집

이러한 디바이스의 경우 Security Cloud Control에서 디바이스 구성 파일을 보고 디바이스에 따라 다양한 작업을 수행할 수 있습니다.

현재 ASA 구성 파일만 Security Cloud Control를 사용하여 직접 편집할 수 있습니다.


Caution

이 절차는 디바이스 구성 파일의 구문에 익숙한 고급 사용자를 위한 것입니다. 이 방법은 Security Cloud Control에 저장된 구성 파일의 복사본을 직접 변경합니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

ASA 탭을 클릭합니다.

Step 4

구성을 편집하려는 디바이스를 선택합니다.

Step 5

오른쪽의 관리 창에서 Configuration(구성)를 클릭합니다.

Step 6

Device Configuration(디바이스 구성) 페이지에서 Edit(편집)를 클릭합니다.

Step 7

오른쪽의 편집기 버튼을 클릭하고 기본 텍스트 편집기, Vim 또는 Emacs 텍스트 편집기를 선택합니다.

Step 8

파일을 편집하고 변경 사항을 저장합니다.

Step 9

Security Devices(보안 디바이스) 페이지로 돌아가 변경 사항을 미리 보고 구축합니다.